Cybersécurité : la France tend la main aux hackeurs bien intentionnés

Le Monde 26/01/2016

Un amendement à la loi numérique vise à mieux protéger ceux qui signalent des failles aux entreprises

Lorsqu’un spécialiste de la sécurité informatique découvre une faille dans un programme ou un site Web, il peut, bien sûr, s’en servir à ses propres fins. Mais il peut aussi dévoiler l’existence de ce problème aux propriétaires du site ou du programme… Parfois surnommés  » white hats  » ( » chapeaux blancs « ), ces bons samaritains ont pour objectif de rendre le Web plus sûr pour les utilisateurs. Mais par le passé, certains se sont aussi vu traîner en justice par l’entreprise à qui ils avaient dévoilé l’existence d’un problème, cette dernière les accusant de piratage.

L’Assemblée nationale a voté le 21  janvier une disposition afin de protéger ces experts bien intentionnés. Celle-ci est contenue dans un amendement au projet de loi  » pour une République numérique « , qui doit être adopté en première lecture à l’Assemblée nationale, mardi 26  janvier. Une personne qui s’introduit de manière frauduleuse dans un système informatique – infraction inscrite dans le code pénal –  » est exempte de peine «  si elle prévient au plus vite le responsable du site visé ou les autorités. Certains députés regrettent toutefois que le texte ne propose qu’une exemption de peines et non de poursuites.

Pour la secrétaire d’Etat au -numérique, Axelle Lemaire, qui porte le projet de loi à l’Assemblée, il s’agit de  » faire alliance avec la multitude d’informaticiens compétents et avec la communauté externe des développeurs «  afin de mieux protéger les outils utilisés quotidiennement par les internautes,  » dans un cadre légal sûr « .  » Il n’est aucunement question d’introduire une exemption pénale qui permettrait à des personnes délibérément hostiles de se voir exonérées de toute responsabilité « , a-t-elle souligné dans -l’Hémicycle.

Un commerce de vulnérabilités

Lundi 25  janvier, cette mesure a été saluée par le directeur général de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard, qui s’exprimait à l’occasion du Forum international de la cybersécurité, à Lille.

Il n’existe pour l’instant aucun cadre juridique pour protéger ces experts informatiques, et la peur de poursuites peut dissuader les mieux intentionnés de partager leurs informations avec les entreprises,  » par crainte de sanctions pénales « , comme l’a souligné Mme Lemaire à l’Assemblée. Pire, certains peuvent même être tentés de se tourner vers le -marché noir.

Car la faille de sécurité a bien souvent un prix, et a même son marché dédié. Il existe un commerce de vulnérabilités entre hackeurs peu scrupuleux et criminels, ainsi que des achats de failles par des services de renseignement gouvernementaux. Mais certaines sociétés privées ont d’ores et déjà tendu la main aux experts en sécurité, et préfèrent récompenser les personnes qui leur communiquent les failles décelées.

Ainsi, un grand nombre d’entreprises, de United Airlines à Microsoft en passant par Nokia, ont publié la marche à respecter pour leur transmettre des informations sur des failles de sécurité. Tout l’équilibre est d’inciter les -internautes qui découvrent des failles à les signaler discrètement, sans toutefois les encourager à utiliser des moyens trop violents pour s’introduire sur un site. Agresser un employé pour obtenir un accès au système n’est pas toléré, précise par exemple -United Airlines.

Loin de Microsoft ou Google qui achètent chaque année des dizaines voire des centaines de failles, Blablacar indique n’avoir été contacté qu’une seule fois, début 2014, par un internaute qui avait découvert une vulnérabilité.  » On a travaillé en bonne intelligence avec lui. On lui a fait un devis pour un audit, puis on lui a même demandé s’il pouvait chercher d’autres failles « , assure la porte-parole du service de -covoiturage.

Depuis le 21  janvier, un service mettant en relation hackeurs et entreprises existe en France. Nommé Bounty Factory, il a été fondé entre autres par le responsable de la sécurité du moteur de recherche Qwant. Actuellement en test privé, le projet est largement inspiré des services identiques proposés aux Etats-Unis, comme la plateforme Hacker-One.

Une entreprise peut décider de s’affilier à cette plateforme et l’internaute qui découvre une faille trouvera sur le site de HackerOne un point de contact où la signaler auprès de l’entreprise. Toute faille avérée puis corrigée donnera lieu à une rémunération pour le hackeur bien intentionné.

A terme, B0unty Factory voudrait proposer aux entreprises des sessions privées qui rassemblent par exemple  » les dix ou cinquante meilleurs hackeurs contributeurs de la plateforme « . B0unty Factory voudrait aussi pouvoir mettre en relationces experts en sécurité avec des sociétés qui cherchent à recruter, explique son président, Guillaume Vassault-Houlière.

Orange et Atos entrent à l’Elysée

Orange Cyberdéfense, filiale de l’opérateur historique consacrée à la sécurité, a annoncé, en partenariat avec Atos, une nouvelle offre de téléphonie sécurisée et réservée aux dirigeants d’entreprise et à l’administration. Quelque 400 collaborateurs de l’Elysée ont été équipés de ces appareils, qui permettent d’avoir des conversations en  » diffusion restreinte « , c’est-à-dire un niveau d’information classifié. Pour le moment, l’offre est uniquement disponible sur les Hoox, des portables conçus par Atos. En septembre, le service devrait être accessible via une simple application.

Florian Reynaud