Aujourd’hui, une personne qui s’introduit dans un système informatique dans le seul but de révéler des failles susceptibles d’occasionner des fuites de données personnelles risque 2 ans
d’emprisonnement et 60 000 euros d’amende. Alors qu’un amendement au projet de loi de programmation et d’orientation du ministère de l’Intérieur vise à remédier à ce problème, il nous semble important, en tant qu’association défendant l’alerte éthique, de rappeler l’importance de protéger ces pratiques qui servent l’intérêt général.
Le code pénal ne fait pas la différence entre les délinquants informatiques et les hackers éthiques. Or ces derniers utilisent leurs compétences au service de l’intérêt général, en identifiant des failles informatiques et en les reportant à l’entreprise ou l’administration concernée ou à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Aux États-Unis, on les dénomme
« white hats » (« chapeaux blancs »), par opposition aux « black hats » (« chapeaux noirs »), en référence aux westerns, où le héros se distingue de ses ennemis par son chapeau blanc.
En permettant d’identifier ces failles et de les colmater, les hackers éthiques jouent un rôle crucial pour la protection de nos données privées et donc pour l’intérêt général, à l’heure où les cyberattaques se multiplient, en particulier contre des collectivités locales et des hôpitaux publics. Par exemple, l’an dernier, 380 cyberattaques ont été perpétrées contre des hôpitaux. Cinq d’entre elles ont mis en danger la vie des patients.
C’est d’ailleurs pour encourager les hackers éthiques dans leur mission que la loi française a été modifiée en 2016. Alors que l’ANSSI, comme toute autorité publique doit, en principe, prévenir la
justice des délits dont elle aurait connaissance, elle en est dispensée lorsqu’un hacker éthique lui signale une faille informatique. Et ce même dans le cas où, pour détecter cette faille, le hacker éthique a dû s’introduire illégalement dans un système informatique. Cependant, même sans être dénoncé par l’ANSSI, un hacker éthique reste exposé à des poursuites pénales. Sa situation rejoint celle des lanceurs d’alerte, souvent victimes de procédures judiciaires alors même qu’ils œuvrent pour l’intérêt général et nous protègent de dangers souvent dissimulés.
Alors que ceux-ci sont protégés depuis 2016 en France, il était malgré tout possible de les poursuivre pénalement, de manière détournée : non pour avoir lancé l’alerte, mais pour avoir
récupéré ou conservé certains documents en tant que preuves de leur signalement. La Maison des Lanceurs d’Alerte a obtenu que cela ne soit plus le cas, dans la nouvelle loi visant à améliorer la protection des lanceurs d’alerte, entrée en vigueur au mois de septembre. L’amendement déposé sur le projet de loi de programmation et d’orientation du ministère de l’Intérieur est donc une initiative souhaitable. Il vise à empêcher les poursuites pénales contre les hackers éthiques qui signalent des failles informatiques à l’ANSSI. En protégeant ces hackers éthiques, il améliore la protection de l’ensemble des citoyens face aux cyberattaques et aux risques de fuites de données personnelles.