Qu’est-ce qui empêche les pouvoirs publics d’élaborer un cadre légal pour le piratage éthique?

La rapide évolution technologique d’internet a de nombreux effets positifs, mais il y a aussi un revers à la médaille, à savoir les pirates criminels. Il existe cependant aussi un autre groupe de hackers bien intentionnés, ceux-là: les pirates éthiques, qui tentent de se distinguer en bien, mais qui sont malgré tout punis. Kurt Callewaert, lecteur en informatique appliquée à l’HOWEST, se demande pourquoi la situation ne pourrait pas changer.

La transformation numérique nous a apporté énormément de choses en peu de temps, mais comme pour la plupart des progrès technologiques, il y a ici aussi un côté obscur: les pirates criminels.

Les pouvoirs publics, entreprises et particuliers constituent une proie facile pour ce qu’on appelle les ‘black hat’-hackers qui se font fort de pénétrer dans les systèmes informatiques en ne poursuivant qu’un seul but: gagner de l’argent ou causer des dommages. Ils recherchent des mots de passe, afin de vider les comptes financiers, ou des données sensibles de clients ou patients pour les vendre sur internet. Rex Mundi est un exemple de groupe de pirates mal intentionnés actif dans notre pays. Ce groupe fait appel au hameçonnage (phishing): qui d’entre vous n’a pas reçu un jour un courriel invitant à mettre à jour son logiciel bancaire? Cette façon de subtiliser des informations d’utilisateurs non soupçonneux constitue la toute nouvelle forme de fraude sur internet.

A l’opposé de ce groupe de criminels, il y a les ‘white hat’-hackers. Ces pirates collaborent en fait avec les autorités et les entreprises et attaquent des systèmes informatiques pour y déceler les points faibles, afin qu’ils puissent être mieux protégés. Ce groupe travaille sur commande et contractuellement. Dans notre pays, l’on ne peut en effet pas tester de son propre chef un site web d’un pouvoir public ou d’une entreprise pour savoir s’il est bien sécurisé. Si quelqu’un est pris à agir ainsi, il encourt une peine sévère et une forte amende, alors que cette forme de piratage numérique – appelée piratage éthique – est précisément très utile.

En 2013 déjà, les Pays-Bas ont créé un cadre pour le piratage éthique. Ce type de piratage est autorisé chez nos voisins, à condition que le pirate ne rende pas publiques les failles découvertes, avant que l’organisation concernée ait résolu le problème. Le hacker doit aussi pouvoir démontrer qu’il n’a pas abusé de la brèche qu’il a repérée.

Ces derniers temps, des étudiants de l’HOWEST (Hogeschool Westvlaanderen) et Arne Swinnen de Nviso (l’organisateur du Cyber Security Challenge) ont défrayé la chronique par leurs actions de piratage de médias sociaux tels Facebook et Google, qui ont lancé des programmes ‘bug bounty’ spéciaux afin d’aider à sécuriser leurs plates-formes. Si quelqu’un y trouve une faille, son nom apparaît dans le ‘hall of fame’, et il reçoit une belle récompense de l’entreprise concernée, dont le montant peut atteindre des milliers d’euros.

Même le Pentagone a initié ce lundi un projet dans le cadre duquel des pirates sont utilisés pour trouver des brèches dans ses systèmes. Son raisonnement se base sur le fait que des bénévoles extérieurs ont une autre vision et une autre approche de la sécurité et dénichent des failles que le Pentagone lui-même ne pensait pas possibles.

De grandes entreprises technologiques et les autorités américaines invitent aussi des pirates éthiques à les aider et sont même prêtes à payer pour ce faire – le Pentagone a ainsi prévu 150.000 dollars de récompenses. Espérons que ce soit un signe pour que les choses changent en Belgique également car les pirates éthiques réclament un cadre légal pour leurs activités. Ils n’ont en effet aucun intérêt à agir illégalement et à connaître des problèmes. Or tout le monde sait que dans notre pays, il y a encore nombre de réseaux et d’applications vulnérables tant dans les entreprises que dans les pouvoirs publics.

Pour colmater ces brèches, il y a trop peu de spécialistes de la sécurité IT en Belgique, même si cela évolue. L’HOWEST fait en tout cas de son mieux en Flandre. L’année prochaine, pas moins de 100 ‘white hat’ ou ‘ethical hackers’ seront disponibles pour des stages et des projets. L’HOWEST est aussi en train de créer un programme Computer & Cyber Crime Professional adapté aux informaticiens actifs (ayant décroché un diplôme en informatique appliquée), afin qu’ils puissent actualiser leur connaissance par un enseignement à distance. En Wallonie, relevons une collaboration entre les universités ULB, UCL, UNamur, École royale militaire et les deux écoles supérieures HEB et HELB, en vue d’organiser un master après le master en cyber-sécurité.

Mais à côté de la formation, la pratique est aussi importante. Un étudiant apprend beaucoup, lorsqu’il peut appliquer sa connaissance sur un système soi-disant sûr.

N’est-il pas temps que la plate-forme de la Cyber Security Coalition élabore un cadre pour le piratage éthique en Belgique? Ou Miguel de Bruycker du Centre de la Cyber-sécurité belge aurait-il déjà une proposition dans ce sens? Espérons que l’on n’attende pas que se manifeste une catastrophe majeure avant de passer à l’action.