Yuri Samoilov / Flickr CC

Lorsqu’un spécialiste de la sécurité informatique découvre une faille dans un programme ou un site Web, il peut, bien sûr, s’en servir à ses propres fins. Mais il peut aussi dévoiler l’existence de ce problème aux propriétaires du site ou du programme… Parfois surnommés « white hats » (« chapeaux blancs »), ces bons samaritains ont pour objectif de rendre le Net plus sûr pour les utilisateurs. Mais par le passé, certains se sont aussi vus traîner en justice par l’entreprise à qui ils avaient dévoilé l’existence d’un problème, cette dernière les accusant de piratage.

L’Assemblée nationale a voté le 21 janvier une disposition afin de protéger ces experts bien intentionnés. Celle-ci est contenue dans un amendement au projet de loi « pour une République numérique », qui doit être adopté en première lecture à l’Assemblée nationale, mardi 26 janvier. Une personne qui s’introduit de manière frauduleuse dans un système informatique – infraction inscrite dans le code pénal – « est exempte de peine » si elle prévient au plus vite le responsable du site visé ou les autorités. Certains députés regrettent toutefois que le texte ne propose qu’une exemption de peines et non de poursuites.

Pour la secrétaire d’Etat au numérique, Axelle Lemaire, qui porte le projet de loi à l’Assemblée, il s’agit de « faire alliance avec la multitude d’informaticiens compétents et avec la communauté externe des développeurs » afin de mieux protéger les outils utilisés quotidiennement par les internautes, « dans un cadre légal sûr ». « Il n’est aucunement question d’introduire une exemption pénale qui permettrait à des personnes délibérément hostiles de se voir exonérées de toute responsabilité », a-t-elle souligné dans l’Hémicycle.

Un commerce de vulnérabilités

Lundi 25 janvier, cette mesure a été saluée par le directeur général de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard, qui s’exprimait à l’occasion du Forum international de la cybersécurité, à Lille.

Il n’existe pour l’instant aucun cadre juridique pour protéger ces experts informatiques, et la peur de poursuites peut dissuader les mieux intentionnés de partager leurs informations avec les entreprises, « par crainte de sanctions pénales », comme l’a souligné Mme Lemaire à l’Assemblée. Pire, certains peuvent même être tentés de se tourner vers le marché noir.

Lire aussi Un amendement protégeant les hackeurs qui signalent des failles informatiques rejeté

Car la faille de sécurité a bien souvent un prix, et possède même son marché dédié. Il existe un commerce de vulnérabilités entre hackeurs peu scrupuleux et criminels, ainsi que des achats de failles par des services de renseignement gouvernementaux. Mais certaines sociétés privées ont d’ores et déjà tendu la main aux experts en sécurité, et préfèrent récompenser les personnes qui leur communiquent les failles décelées.

Ainsi, un grand nombre d’entreprises, de United Airlines à Microsoft en passant par Nokia, ont publié la marche à respecter pour leur transmettre des informations sur des failles de sécurité. Tout l’équilibre est d’inciter les internautes qui découvrent des failles à les signaler discrètement, sans toutefois les encourager à utiliser des moyens trop violents pour s’introduire sur un site. Agresser un employé pour obtenir un accès au système n’est pas toléré, précise par exemple United Airlines.

Loin de Microsoft ou Google qui achètent chaque année des dizaines voire des centaines de failles, Blablacar indique n’avoir été contacté qu’une seule fois, début 2014, par un internaute qui avait découvert une vulnérabilité. « On a travaillé en bonne intelligence avec lui. On lui a fait un devis pour un audit, puis on lui a même demandé s’il pouvait chercher d’autres failles », assure la porte-parole du service de covoiturage.

Depuis le 21 janvier, un service mettant en relation hackers et entreprises existe en France. Nommé B0unty Factory, il a été fondé entre autres par le responsable de la sécurité du moteur de recherche Qwant. Actuellement en test privé, le projet est largement inspiré des services identiques proposés aux Etats-Unis, comme la plateforme HackerOne.

Une entreprise peut décider de s’affilier à cette plateforme et l’internaute qui découvre une faille trouvera sur le site de HackerOne un point de contact où la signaler auprès de l’entreprise. Toute faille avérée puis corrigée donnera lieu à une rémunération pour le hacker bien intentionné.

A terme, B0unty Factory voudrait proposer aux entreprises des sessions privées qui rassemblent par exemple « les dix ou cinquante meilleurs hackeurs contributeurs de la plateforme ». B0unty Factory voudrait aussi pouvoir mettre en relation ces experts en sécurité avec des sociétés qui cherchent à recruter, explique son président, Guillaume Vassault-Houlière.