Le piratage éthique désormais légalement autorisé en Belgique

Pirater un système de bonne foi pour en montrer les faiblesses est dorénavant légalement autorisé dans notre pays. Il y a certes un certain nombre de conditions, mais si elles sont respectées, vous ne pouvez plus être sanctionné en tant que pirate éthique.

Les hackers éthiques sont des personnes qui, professionnellement ou occasionnellement, recherchent des failles dans les systèmes. Mais plutôt que d’en abuser à des fins personnelles, ils signalent l’incident, afin que le propriétaire du système puisse en améliorer la sécurité. Cela va aussi parfois de pair avec une récompense financière (‘bug bounty’).

Mais c’était interdit d’un point de vue strictement légal. Il y avait bien des exceptions ces dernières années pour toute personne se déclarant explicitement ouverte au piratage éthique, mais cela se généralise à présent. Quiconque suit les procédures correctes, telles que le signalement en temps opportun et l’absence d’auto-profit, ne doit pas craindre d’être poursuivi.

Respect de l’obligation de signalement et de la confidentialité

En tant que pirate, vous ne pouvez par exemple pas aller plus loin que nécessaire pour faire la démonstration d’un point faible, et vous ne pouvez pas causer de dommage au système piraté. Cela ne signifie pas non plus que vous ne pouvez pas solliciter une compensation, même s’il existe des exceptions, lorsqu’il y a un accord conclu avec la partie piratée ou si cette dernière prévoit elle-même un programme de récompenses.

Quiconque découvre quelque chose, doit le signaler le plus rapidement possible – dans les 72 heures – et, idéalement, conserver les preuves d’actions entreprises. C’est possible pour l’entreprise concernée, si elle applique une politique dite de divulgation responsable, sinon il faut se tourner vers le CCB (Centre pour la Cybersécurité Belgique) qui dispose à cet effet d’un formulaire que vous pouvez transmettre par mail.

Comme ce genre de système contient souvent des données personnelles, des règles s’appliquent aussi. Idéalement, il convient d’utiliser un compte de test pour démontrer quelque chose. Si lors de votre découverte, vous avez accès à des données personnelles, vous devez suivre les règles du GDPR. En d’autres mots, si vous piratez par exemple une base de données et que pouvez ainsi télécharger des informations sur des clients ou des utilisateurs, vous êtes tenu de les supprimer par la suite.

Enfin, des choses telles que l’hameçonnage (‘phishing’), l’utilisation de pourriels (‘spamming’), les attaques de force brute, les agressions de type DDoS, la suppression de données, l’installation de logiciels malveillants (malware) ou l’endommagement du système ou des données sont explicitement interdites. Les explications complètes sur ce qui est possible ou pas se trouvent au CCB.

Clarté

Le pirate éthique belge Inti De Ceukelaire plaide depuis des années déjà en faveur d’un solide cadre juridique et a également fourni des informations sur les nouvelles règles au départ de son employeur Intigriti. ‘Nous sommes ainsi l’un des rares pays où les règles sont aussi clairement énoncées’, déclare-t-il à Data News. Même si ce changement légal ne change pas grand-chose pour son entreprise. ‘Nous ne travaillons qu’avec des entreprises qui autorisent explicitement le piratage éthique.’

C’est du reste là que réside le grand changement dans la loi. Jusqu’il y a quelques années, rien n’était permis. Toute personne effectuant un piratage de bonne foi était toujours punissable. Il y a quelques années, il y eut un assouplissement: les hackers qui ciblaient des entreprises indiquant explicitement qu’elles étaient ouvertes au piratage éthique, pouvaient le faire. ‘Mais ils accomplissaient encore et toujours quelque chose d’illégal sur le plan technique’, explique De Ceukelaire. ‘Même si l’entreprise piratée ne déposait pas une plainte contre vous, vous étiez quand même punissable. Tel n’est plus le cas avec cet amendement à la loi.’

De Ceukelaire évoque cependant encore une petite incertitude. C’est ainsi que le texte actuel ne vous autorise pas, en tant que pirate éthique, à décrire publiquement la faille découverte. Et ce, dans le but d’éviter avant tout que quelqu’un ne rende public le problème de sécurité découvert, avant que la victime prenne les mesures ad hoc. Mais De Ceukelare espère que cela sera bientôt clarifié, afin que, par exemple, des rapports universitaires consacrés à la découverte de ce genre de failles, puissent être publiés.