0,00  (0)
fr

Connectez-vous avec votre adresse e-mail ou votre compte Facebook

OU

Vous n'avez pas encore de compte ?

Inscrivez-vous dès maintenant
> > > Le piratage éthique : une opportunité de sécurisation des systèmes d’information pour les sociétés luxembourgeoises ?

Le piratage éthique : une opportunité de sécurisation des systèmes d’information pour les sociétés luxembourgeoises ?

11 octobre 2019 IP/IT

Par Pauline Limbrée, Avocat au barreau de Liège, Lexing Belgium.

Dans le monde numérique, l’identification de vulnérabilités peut prendre plusieurs formes. Actuellement, l’une d’entre elles fait tache d’huile : le piratage éthique.

Arrêtons-nous un instant sur cette notion de piratage éthique (ou Ethical Hacking) et analysons brièvement les obstacles légaux qui se mettent en travers de son chemin.

 

  1. Le piratage éthique

 

Début des années 2000, les services en ligne proposés par la banque belge Dexia n’étaient pas sécurisés, les listes des bénéficiaires de virements pouvant être falsifiées. Un jour, une personne s’en aperçoit et avertit Dexia.

Ainsi, cette personne a posé un acte de piratage éthique puisqu’elle s’est introduite au sein d’un système afin d’en tester la résilience et d’en faire rapport à son gestionnaire. Ce phénomène se décline sous deux formes : soit, le pirate intervient d’initiative, soit, il y a été invité.

Dans cette seconde hypothèse, le pirate participe à un programme de Bug Bounty Hunting, mis en place par le gestionnaire du système. Concrètement, via ce programme, la société donne l’autorisation (généralement via son site internet) à l’ensemble de la communauté informatique de tenter de pénétrer dans son système pour y identifier une faille de sécurité (bug), à charge pour cette dernière de récompenser (bounty) celui qui y sera parvenu.

Il est intéressant de noter que malgré les bonnes intentions de notre pirate, Dexia n’a pas hésité à déposer plainte contre lui1)Le Tribunal correctionnel d’Hasselt fit preuve d’indulgence et prononça la suspension du prononcé : Corr. Hasselt, 21 janvier 2004, Computerr., 2004, liv. 3, p.130, note H. Graux ; F. de Villenfagne, Chronique de jurisprudence 2002-2008, R.D.T.I., 2010/2, pp. 19-22., invoquant l’infraction d’accès intentionnel et sans droit.

 

  1. Le piratage éthique et l’infraction « d’accès intentionnel et sans droit »

La Convention de Budapest2)Convention sur la cybercriminalité, Budapest, 23 novembre 2001, S.T.C.E., n° 185. sur la cybercriminalité impose aux états signataires d ’« ériger en infraction pénale l’accès intentionnel et sans droit à tout ou partie d’un système informatique».

De ce fait, l’article 509-1 alinéa 1er du Code pénal luxembourgeois prévoit la fraude informatique3)Trib. arr. Luxembourg, 21 mars 2007, n°994/2007 ; Trib. arr. Luxembourg, 25 janvier 2006, n°43406 confirmé par CA, 17 octobre 2006, n°478/06 V. ; c’est-à-dire l’accès ou le maintien frauduleux au sein d’un système informatique (article 509-1 alinéa 1er du Code pénal luxembourgeois).

Les termes utilisés sont volontairement larges de manière à appréhender toute une série de comportements ou de méthodes. Ainsi, l’absence de sécurisation du système visité est sans incidence. De même que l’existence d’un dommage ou l’usage frauduleux d’un code d’accès.

Quant à l’intention de l’auteur (dit élément moral de l’infraction), elle importe peu4)O. LEROUX, « Premier cas de piratage ou accès non autorisé à un système informatique », R.D.T.I., 2004, p.65 ; M. NIHOUL et S. COISNE, « Chronique semestrielle de jurisprudence. Les infractions du Code pénal », Rev. dr. pénal, 2005, p.457. : il suffit qu’il ait la connaissance qu’il accède ou se maintient dans un système d’information alors qu’il n’en a pas l’autorisation.

Quant à la question de savoir comment s’articule le piratage éthique avec l’infraction de fraude informatique, la réponse est décevante, compte tenu du sort réservé au pirate éthique qui intervient en dehors d’un programme de Bug Bounty Hunting (ses bonnes intentions étant sans incidence dans l’appréciation des éléments constitutifs de l’infraction). À l’inverse, il peut être considéré que le participant à un programme de Bug Bounty Hunting a obtenu préalablement l’autorisation, à tout le moins tacite, de s’introduire dans le système. De ce fait, il ne pourra être poursuivi pénalement5)En effet, le rapport explicatif de la Convention de Budapest indique, en son point 47, qu’il n’y a « pas de pénalisation de l’accès autorisé par le propriétaire du système »..

 

  • Le piratage éthique et la protection des données

Reprenons notre exemple. La personne qui s’est introduite sans autorisation dans le système informatique de Dexia opère-t-elle un traitement de données à caractère personnel au sens du Règlement Général sur la Protection des Données (RGPD)6)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.U.E., 4.5.2016, L 119/1.  ? La réponse est affirmative, sauf pour le pirate éthique qui peut se prévaloir de l’exception domestique7)Article 2.2 c) du RGPD. Soit un pirate qui n’est pas informaticien..

Certains pirates posent donc un acte de traitement. Mais, en déterminent-t-ils les moyens et les finalités ?

Selon le Groupe de travail article 29, désormais remplacé par le Comité Européen de Protection des Données8)Le CEPD est un groupe de travail européen indépendant traitant de questions de protection des données à caractère personnel et de la vie privée. Les autorités nationales des états membres de l’Union européenne y sont représentées. Par ailleurs, le Contrôleur européen de la protection des données en fait également partie., la notion de responsable du traitement vise à attribuer une responsabilité aux personnes qui exercent une influence de fait9)Groupe de travail article 29, Avis 1/2010 du 16 février 2010 sur les notions de « responsable du traitement » et de « sous-traitant », WP 169, disponible sur ec.europa.eu . Une analyse factuelle est donc opportune.

Nous pensons que le pirate qui intervient d’initiative est, par hypothèse, responsable du traitement étant donné le caractère indépendant de ses agissements. Quant au participant d’un programme de Bug Bounty Hunting, la réponse est plus factuelle et dépendra du caractère précis de l’invitation publiée par la société : plus celle-ci est précise, plus il y a de chance que ce dernier soit qualifié de sous-traitant.

Lorsque le pirate intervient comme responsable du traitement, il est tenu de respecter toute une série d’obligations. À titre d’exemple, prenons l’obligation de licéité du traitement, selon laquelle tout traitement de données doit être basé sur un fondement légitime.

Ainsi, se pose la question de savoir si l’objectif de garantir la sécurité des réseaux et des informations peut être considéré comme un intérêt « légitime ».

Selon le Groupe 29, « un intérêt légitime doit être licite, être formulé en termes suffisamment clairs pour permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée et constituer un intérêt réel et présent10)Groupe de travail article 29, Avis 06/2014 du 9 avril 2014 sur la notion d’intérêt légitime du contrôleur des données au sens de l’article 7 de la Directive 95-46-CE, WP 217, disponible sur ec.europa.eu. ».

La principale difficulté de cette approche réside dans le fait que l’accès non autorisé à un système informatique est pénalement incriminé. En effet, il s’agit de consigner un traitement dans une hypothèse licite alors qu’en pratique, le pirate éthique a posé un acte a priori illégal. Cette difficulté est toutefois levée en ce qui concerne le participant à un programme de Bug Bounty Hunting étant donné que, dans ce cas de figure, le pirate a reçu l’autorisation nécessaire de la société.

En conséquence, il peut être considéré que le traitement opéré par le participant à un programme de Bug Bounty Hunting est nécessaire aux fins des intérêts légitimes poursuivis par la société du système concerné. En revanche, le RGPD donne davantage du fil à retordre au pirate éthique qui intervient d’initiative, dont le traitement (illégal) est, par hypothèse, illicite.

Afin de garder le niveau de qualité nécessaire, tous les articles sont soumis à une relecture par des spécialistes.
La revue est tournée vers l’international et est composée d’un comité scientifique dont les membres sont basés au Luxembourg, en France et en Belgique avec une ambition de s’élargir rapidement à d’autres horizons et continents.

Conclusion

En conséquence, une société peut sécuriser son système informatique en interne, en recourant aux services d’une société spécialisée en cybersécurité ou en sollicitant l’aide d’un informaticien indépendant.

Cette dernière hypothèse présente une plus-value incontestable : la société sera tenue de prendre en charge les frais de prestation du pirate que si celui-ci a réussi à identifier une faille dans son système informatique. Une sorte de « satisfait ou rembourser » à l’ère du numérique.

Cependant, la nouveauté du phénomène implique que ce dernier ne soit pas encore appréhendé correctement par le droit, ce qui peut poser des difficultés pour chacun des intervenants.

Dans l’attente d’une intervention législative, il est plus prudent de recourir au programme de Bug Bounty Hunting. L’invitation publiée par la société sur son site internet permet en effet d’anticiper les éventuelles difficultés qui pourraient se poser. Pour ce faire, il est nécessaire que cette invitation indique à tout le moins l’autorisation explicite de s’introduire au sein du système informatique, les résultats escomptés par cette intrusion et les risques acceptés par la société.

Dans ces conditions, l’intervention du pirate permet de faire d’une pierre deux coups : améliorer la résilience des systèmes d’information et sécuriser davantage les données qui y sont stockées. Or, il est indispensable de traiter ces deux problématiques selon une même logique, car, nous le savons trop bien, en cas de crise (informatique ou non), la protection de la vie privée est la première chose à laquelle on renonce11)B. Schneier, Secrets et mensonges. Sécurité numérique dans un monde en réseau, Paris, Vuibert Informatique, 2001, p. 71..

Pauline Limbrée est intervenue à la Conférence de lancement de la Revue Internationale de la Propriété Intellectuelle et du Droit du Numérique – PINCODE qui a eu lieu le 26 septembre dernier. Cette revue se veut être votre clef de la connaissance et de la compréhension du droit des technologies, de la protection des données, de la concurrence, de la propriété intellectuelle ou industrielle.
Parce que ces matières ne doivent plus être réservées à quelques spécialistes, la revue s’adresse aussi bien à l’avocat spécialisé qu’à l’avocat généraliste et au juriste d’entreprise.
Pour cela, la revue publie tant des articles de doctrine que de la jurisprudence commentée, mais également des actualités et des fiches pratiques pour aborder rapidement et clairement les différents aspects de la propriété intellectuelle et du droit du numérique.

Références   [ + ]

1. Le Tribunal correctionnel d’Hasselt fit preuve d’indulgence et prononça la suspension du prononcé : Corr. Hasselt, 21 janvier 2004, Computerr., 2004, liv. 3, p.130, note H. Graux ; F. de Villenfagne, Chronique de jurisprudence 2002-2008, R.D.T.I., 2010/2, pp. 19-22.
2. Convention sur la cybercriminalité, Budapest, 23 novembre 2001, S.T.C.E., n° 185.
3. Trib. arr. Luxembourg, 21 mars 2007, n°994/2007 ; Trib. arr. Luxembourg, 25 janvier 2006, n°43406 confirmé par CA, 17 octobre 2006, n°478/06 V.
4. O. LEROUX, « Premier cas de piratage ou accès non autorisé à un système informatique », R.D.T.I., 2004, p.65 ; M. NIHOUL et S. COISNE, « Chronique semestrielle de jurisprudence. Les infractions du Code pénal », Rev. dr. pénal, 2005, p.457.
5. En effet, le rapport explicatif de la Convention de Budapest indique, en son point 47, qu’il n’y a « pas de pénalisation de l’accès autorisé par le propriétaire du système ».
6. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.U.E., 4.5.2016, L 119/1. 
7. Article 2.2 c) du RGPD. Soit un pirate qui n’est pas informaticien.
8. Le CEPD est un groupe de travail européen indépendant traitant de questions de protection des données à caractère personnel et de la vie privée. Les autorités nationales des états membres de l’Union européenne y sont représentées. Par ailleurs, le Contrôleur européen de la protection des données en fait également partie.
9. Groupe de travail article 29, Avis 1/2010 du 16 février 2010 sur les notions de « responsable du traitement » et de « sous-traitant », WP 169, disponible sur ec.europa.eu 
10. Groupe de travail article 29, Avis 06/2014 du 9 avril 2014 sur la notion d’intérêt légitime du contrôleur des données au sens de l’article 7 de la Directive 95-46-CE, WP 217, disponible sur ec.europa.eu.
11. B. Schneier, Secrets et mensonges. Sécurité numérique dans un monde en réseau, Paris, Vuibert Informatique, 2001, p. 71.

Laisser un commentaire

Vous devez être connecté pour ajouter un commentaire.

contribuer-aux-articles

Découvrez Casteganro TV

Partagez sur les réseaux sociaux

Ajouter un favoris

Vous devez être membre pour ajouter un contenu à vos favoris.

Déjà membre ? Connectez-vous :

Pas encore inscrit ?

Créez votre compte