Le piratage éthique presque légal en Belgique: “Car tout est plein de fuites”
Notre pays permettra finalement à des hackers de rechercher et de signaler des failles dans la sécurité des entreprises et des pouvoirs publics, à condition bien entendu que ceux-ci en aient d’abord donné la permission explicite.
Cela fait quelques mois que l’on est penché sur ce genre d’autorisation chez nous. La législation ne sera elle-même pas modifiée. Il y aura cependant un communiqué standard du Centre pour la Cyber-sécurité Belgique (CCB) que les entreprises pourront placer sur leur site web. Elles donneront ainsi la permission aux hackers de faire leur travail conformément à cette directive explicite. Ce texte devrait apparaître dans la/les langue(s) du site web et en anglais.
Cela commença à bouger suite à une question parlementaire posée par le député de la N-VA Brecht Vermeulen au ministre de la Justice Koen Geens (CD&V). Le ministre a répondu que le CCB préparait une notice à propos de ce qu’on appelle la ‘responsible disclosure’ (dégagement de responsabilité) pour les hackers.
Pas une loi, mais une explication
“Nous n’aurons pas de nouveau cadre légal, mais plutôt une explication circonstanciée dans la mesure où cela constitue souvent une ‘zone grise’ pour les entreprises”, indique Andries Bomans, responsable de la communication au CCB. Concrètement, il s’agit d’un texte qui est déjà prêt, mais qui sera contrôlé dans les semaines venir par le SPF Justice. Une fois approuvé, un communiqué standard sera diffusé par le CCB, et les entreprises et autres organisations pourront l’utiliser pour s’ouvrir au piratage éthique.
De Croo: ‘Convaincre les PME’
Le vie-premier ministre et ministre en charge des télécommunications et de l’agenda numérique Alexander De Croo est ravi: “Je suis très content du travail du CCB.” Dans le cadre de l’agenda numérique, il distingue surtout une plus-value pour les PME, qui ne disposent souvent pas des mêmes moyens de sécurité que les grandes sociétés.
“Nous réfléchissons à effectuer une tournée des PME avec des sessions consacrées à la cyber-sécurité, où on leur expliquerait ce qu’est le piratage éthique et où on les encouragerait à participer. Ce n’est que si elles aussi sautent dans le train que l’on aura la plus grande marge de manoeuvre.”
Adaptations possibles
Le texte que les entreprises/organisations pourront utiliser, sera selon toute vraisemblance disponible début de l’année prochaine. Mais les entreprises/organisations pourront elles-mêmes encore y effectuer des adaptations. Il en résultera cependant un risque, selon Kurt Callewaert, professeur d’informatique appliquée en orientation Computer & Cybercrime Professional à l’Howest.
“J’aurais préféré un texte uniformisé car on ne sait pas comment une PME l’adaptera. Ou si elle ne va pas le publier avec, en bas, des exceptions explicites spécifiques. Je crains cependant que nombre de jeunes hackers voient le texte et pensent de facto qu’ils peuvent suivre les règles par défaut.”
Callewaert se dit toutefois satisfait de l’évolution, y compris pour sa propre formation: “Nous avons déjà eu des étudiants qui ont découvert des bugs dans Facebook et Google, mais je pense qu’ils en trouveront davantage dans les entreprises belges. Nous allons aussi utiliser ces éléments dans nos cours. Normalement, nous disposons d’un laboratoire de test fermé, mais avec cette initiative, nous pourrons y rechercher des failles et des bugs dans le monde entier.”
Le hacker éthique Inti De Ceukelaire est ravi lui aussi des mesures prises, notamment parce qu’elles ont été élaborées en concertation avec des ‘ethical hackers’ et la communauté pour la sécurité: “J’espère que les pouvoirs publics seront consistants et les appliqueront également à leurs propres initiatives e-gouvernementales.”
Et d’ajouter que davantage de pirates, cela signifie aussi davantage d’yeux: “Il y a des failles partout. Même pour moi, il est impossible d’écrire sur du code parfaitement sûr. Dans ce cas, le dégagement de responsabilité pour les hackers est la meilleure solution.”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici