Pour avoir découvert cette fraude, il a pu accéder à l’intérieur du système d’information sans l’autorisation du maitre du système. Or, cet accès est un délit pénal. On l’appelle le délit d’accès ou de maintien frauduleux dans un système d’information puni des peines maximales de deux ans d’emprisonnement et de 60.000 euros d’amende par l’article L 323-1 du Code pénal.
Comment alors inciter cette personne à être vertueuse en dénonçant ce qu’elle a constaté au maître du système ou aux autorités ? Cela aurait un grand mérite : celui, au minimum, de réparer la vulnérabilité.
Or, s’il signale la vulnérabilité, il court alors le risque d’être poursuivi en justice et condamné.
C’est pourquoi, le législateur vient de promulguer cette disposition légale ingénieuse et sans doute utile.
Le hacker éthique encore appelé hacker blanc, pourra prendre contact avec l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) et cette autorité prendra contact avec le responsable du système d’information défaillant, éventuellement son hébergeur ou son opérateur, pour leur signaler la vulnérabilité.
Surtout, le nouvel article L 2341-4 du Code de la défense prévoit que l’identité du hacker blanc sera conservée secrète par l’ANSSI, de même que la manière dont il a obtenu l’information, ce qui devrait logiquement le préserver d’une plainte pénale.
On pourrait regretter que le législateur n’ait pas été plus loin, en inscrivant dans la Loi une dispense de poursuites, car dans la situation actuelle, le statut de hacker blanc ne donne que l’anonymat décidé par l’ANSSI. Un responsable d’un système d’information peu reconnaissant vis-à-vis du hacker blanc, pourrait tout de même déposer une plainte pénale, et le Parquet n’est pas tenu par la position prise par l’ANSSI.
Cependant, en pratique, on voit mal le Parquet contredire l’ANSSI. Il ne faut pas bouder notre plaisir, car dans le contexte de cyberattaques quotidiennes, de plus en plus sophistiquées et de plus en plus intrusives dans la vie des citoyens, il faut donner à ces derniers les moyens légaux de réagir et d’aider les autorités publiques à prévenir les dégâts.
Une question reste cependant posée : l’Etat ou même le responsable du système d’information concerné par la faille, peuvent-ils rémunérer ces cybercitoyens vigilants ? Ces hackers peuvent ils demander une rémunération ?
Pour répondre, on peut se reporter à une Loi prise deux mois après la Loi pour la République numérique, la Loi dite Sapin II du 9 décembre 2016, qui a introduit le statut de lanceur d’alerte dans le droit. Le lanceur d’alerte est défini comme la personne physique qui révèle, de manière désintéressée et de bonne foi, un crime ou un délit (…) ou une menace ou un préjudice graves pour l’intérêt général ….
Pour nous, le hacker blanc fait partie de la famille des lanceurs d’alerte.
Dans le cas du hacker blanc, l’ANSSI qui fait bénéficier le hacker de l’anonymat et d’une sorte de dispense des poursuites, doit vérifier un seul critère avant de lui accorder ce statut, à savoir que la personne agit de “bonne foi“.
Pour le lanceur d’alerte, ce sont deux critères cumulatifs qui sont requis pour obtenir le statut, à savoir agir “de manière désintéressée et de bonne foi“.
Chacun aura remarqué qu’un critère n’a pas été repris par la Loi pour une République numérique, celui du désintéressement.
Il semble bien que dans l’esprit, la Loi a fermé la porte à une rémunération. Ainsi, une personne qui contacterait l’ANSSI et voudrait faire dépendre sa révélation d’information d’une rémunération, risquerait fortement de voir son statut de hacker blanc refusé et être menacé de poursuites judiciaire pour accès frauduleux à un système.
En revanche, en l’état du texte, il semble aussi que rien n’empêche pour la suite à l’Etat ou au responsable du système, d’utiliser les services contre paiement pour obtenir plus d’information ou une collaboration dans le temps, sans que cela remette en cause le statut de hacker blanc qui a mis l’individu à l’abri des poursuites.
Voilà donc une évolution du droit intéressante. On est quand même loin d’avoir créé en France un statut légal de chasseurs de primes en faille de sécurité.