{"id":642,"date":"2017-06-24T16:38:04","date_gmt":"2017-06-24T14:38:04","guid":{"rendered":"https:\/\/www.iteanu.law\/?p=642"},"modified":"2017-08-11T11:54:10","modified_gmt":"2017-08-11T09:54:10","slug":"cybersecurite-hackers-blancs-desormais-reconnus-loi","status":"publish","type":"post","link":"https:\/\/www.iteanu.law\/en\/cybersecurite-hackers-blancs-desormais-reconnus-loi\/","title":{"rendered":"Cybers\u00e9curit\u00e9, les hackers blancs d\u00e9sormais reconnus par la Loi"},"content":{"rendered":"<p class=\"qtranxs-available-languages-message qtranxs-available-languages-message-en\">Sorry, this entry is only available in <a href=\"https:\/\/www.iteanu.law\/fr\/wp-json\/wp\/v2\/posts\/642\" class=\"qtranxs-available-language-link qtranxs-available-language-link-fr\" title=\"FR\">FR<\/a>. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.<\/p><p><\/p>\n<div class=\"post-excerpt\">\n<p>La conqu\u00eate de l\u2019ouest am\u00e9ricain est pleine d\u2019histoires de ces bounty hunters ou chasseurs de primes, qui traquaient des personnes recherch\u00e9es par la justice pour avoir \u00e9t\u00e9 condamn\u00e9s ou \u00eatre suspect\u00e9s d\u2019avoir commis un vol ou un meurtre et \u00eatre en fuite.<\/p>\n<p>Le cyberspace est-il en train de r\u00e9activer cette ancienne institution tomb\u00e9e en d\u00e9su\u00e9tude ?<\/p>\n<p>On peut se le demander avec cette derni\u00e8re disposition cr\u00e9\u00e9e par la Loi pour la R\u00e9publique num\u00e9rique d\u2019Axelle Lemaire du 7 octobre 2016. La Loi a en effet, introduit des dispositions dans le droit positif fran\u00e7ais, pour prot\u00e9ger les hackers blancs.<\/p>\n<p>De quoi s\u2019agit-il ? Un individu d\u00e9couvre une faille de s\u00e9curit\u00e9 dans un syst\u00e8me d\u2019information.<\/p>\n<\/div>\n<div class=\"post-content\">\n<p>Pour avoir d\u00e9couvert cette fraude, il a pu acc\u00e9der \u00e0 l\u2019int\u00e9rieur du syst\u00e8me d\u2019information sans l\u2019autorisation du maitre du syst\u00e8me. Or, cet acc\u00e8s est un d\u00e9lit p\u00e9nal. On l\u2019appelle le d\u00e9lit d\u2019acc\u00e8s ou de maintien frauduleux dans un syst\u00e8me d\u2019information puni des peines maximales de deux ans d\u2019emprisonnement et de 60.000 euros d\u2019amende par <a title=\"Code p\u00e9nal\" href=\"https:\/\/www.legifrance.gouv.fr\/affichCodeArticle.do?idArticle=LEGIARTI000006418316&amp;cidTexte=LEGITEXT000006070719\" hreflang=\"fr\">l\u2019article L 323-1<\/a> du Code p\u00e9nal.<\/p>\n<p>Comment alors inciter cette personne \u00e0 \u00eatre vertueuse en d\u00e9non\u00e7ant ce qu\u2019elle a constat\u00e9 au ma\u00eetre du syst\u00e8me ou aux autorit\u00e9s ? Cela aurait un grand m\u00e9rite : celui, au minimum, de r\u00e9parer la vuln\u00e9rabilit\u00e9.<\/p>\n<p>Or, s\u2019il signale la vuln\u00e9rabilit\u00e9, il court alors le risque d\u2019\u00eatre poursuivi en justice et condamn\u00e9.<\/p>\n<p>C\u2019est pourquoi, le l\u00e9gislateur vient de promulguer cette disposition l\u00e9gale ing\u00e9nieuse et sans doute utile.<\/p>\n<p>Le hacker \u00e9thique encore appel\u00e9 hacker blanc, pourra prendre contact avec l\u2019Agence Nationale pour la S\u00e9curit\u00e9 des Syst\u00e8mes d\u2019Information (<a title=\"Site de l'ANSSI\" href=\"https:\/\/www.ssi.gouv.fr\/\" hreflang=\"fr\">ANSSI<\/a>) et cette autorit\u00e9 prendra contact avec le responsable du syst\u00e8me d\u2019information d\u00e9faillant, \u00e9ventuellement son h\u00e9bergeur ou son op\u00e9rateur, pour leur signaler la vuln\u00e9rabilit\u00e9.<\/p>\n<p>Surtout, le nouvel article L 2341-4 du Code de la d\u00e9fense pr\u00e9voit que l\u2019identit\u00e9 du hacker blanc sera conserv\u00e9e secr\u00e8te par l\u2019ANSSI, de m\u00eame que la mani\u00e8re dont il a obtenu l\u2019information, ce qui devrait logiquement le pr\u00e9server d\u2019une plainte p\u00e9nale.<\/p>\n<p>On pourrait regretter que le l\u00e9gislateur n\u2019ait pas \u00e9t\u00e9 plus loin, en inscrivant dans la Loi une dispense de poursuites, car dans la situation actuelle, le statut de hacker blanc ne donne que l\u2019anonymat d\u00e9cid\u00e9 par l\u2019ANSSI. Un responsable d\u2019un syst\u00e8me d\u2019information peu reconnaissant vis-\u00e0-vis du hacker blanc, pourrait tout de m\u00eame d\u00e9poser une plainte p\u00e9nale, et le Parquet n\u2019est pas tenu par la position prise par l\u2019ANSSI.<\/p>\n<p>Cependant, en pratique, on voit mal le Parquet contredire l\u2019ANSSI. Il ne faut pas bouder notre plaisir, car dans le contexte de cyberattaques quotidiennes, de plus en plus sophistiqu\u00e9es et de plus en plus intrusives dans la vie des citoyens, il faut donner \u00e0 ces derniers les moyens l\u00e9gaux de r\u00e9agir et d\u2019aider les autorit\u00e9s publiques \u00e0 pr\u00e9venir les d\u00e9g\u00e2ts.<\/p>\n<p>Une question reste cependant pos\u00e9e : l\u2019Etat ou m\u00eame le responsable du syst\u00e8me d\u2019information concern\u00e9 par la faille, peuvent-ils r\u00e9mun\u00e9rer ces cybercitoyens vigilants ? Ces hackers peuvent ils demander une r\u00e9mun\u00e9ration ?<\/p>\n<p>Pour r\u00e9pondre, on peut se reporter \u00e0 une Loi prise deux mois apr\u00e8s la Loi pour la R\u00e9publique num\u00e9rique, la Loi dite Sapin II du 9 d\u00e9cembre 2016, qui a introduit le statut de lanceur d\u2019alerte dans le droit. Le lanceur d\u2019alerte est d\u00e9fini comme <em>la personne physique qui r\u00e9v\u00e8le, de mani\u00e8re d\u00e9sint\u00e9ress\u00e9e et de bonne foi, un crime ou un d\u00e9lit (&#8230;) ou une menace ou un pr\u00e9judice graves pour l\u2019int\u00e9r\u00eat g\u00e9n\u00e9ral \u2026<\/em>.<\/p>\n<p>Pour nous, le hacker blanc fait partie de la famille des lanceurs d\u2019alerte.<\/p>\n<p>Dans le cas du hacker blanc, l\u2019ANSSI qui fait b\u00e9n\u00e9ficier le hacker de l\u2019anonymat et d\u2019une sorte de dispense des poursuites, doit v\u00e9rifier un seul crit\u00e8re avant de lui accorder ce statut, \u00e0 savoir que la personne agit de &#8220;<em>bonne foi<\/em>&#8220;.<\/p>\n<p>Pour le lanceur d\u2019alerte, ce sont deux crit\u00e8res cumulatifs qui sont requis pour obtenir le statut, \u00e0 savoir agir &#8220;<em>de mani\u00e8re d\u00e9sint\u00e9ress\u00e9e et de bonne foi<\/em>&#8220;.<\/p>\n<p>Chacun aura remarqu\u00e9 qu\u2019un crit\u00e8re n\u2019a pas \u00e9t\u00e9 repris par la Loi pour une R\u00e9publique num\u00e9rique, celui du d\u00e9sint\u00e9ressement.<\/p>\n<p>Il semble bien que dans l\u2019esprit, la Loi a ferm\u00e9 la porte \u00e0 une r\u00e9mun\u00e9ration. Ainsi, une personne qui contacterait l\u2019ANSSI et voudrait faire d\u00e9pendre sa r\u00e9v\u00e9lation d\u2019information d\u2019une r\u00e9mun\u00e9ration, risquerait fortement de voir son statut de hacker blanc refus\u00e9 et \u00eatre menac\u00e9 de poursuites judiciaire pour acc\u00e8s frauduleux \u00e0 un syst\u00e8me.<\/p>\n<p>En revanche, en l\u2019\u00e9tat du texte, il semble aussi que rien n\u2019emp\u00eache pour la suite \u00e0 l\u2019Etat ou au responsable du syst\u00e8me, d\u2019utiliser les services contre paiement pour obtenir plus d\u2019information ou une collaboration dans le temps, sans que cela remette en cause le statut de hacker blanc qui a mis l\u2019individu \u00e0 l\u2019abri des poursuites.<\/p>\n<p>Voil\u00e0 donc une \u00e9volution du droit int\u00e9ressante. On est quand m\u00eame loin d\u2019avoir cr\u00e9\u00e9 en France un statut l\u00e9gal de chasseurs de primes en faille de s\u00e9curit\u00e9.<\/p>\n<\/div>\n<p><\/p>","protected":false},"excerpt":{"rendered":"<p>Sorry, this entry is only available in FR. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. La conqu\u00eate de l\u2019ouest am\u00e9ricain est pleine d\u2019histoires de ces bounty hunters ou chasseurs de primes, qui traquaient des personnes recherch\u00e9es par [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":643,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-642","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/642","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/comments?post=642"}],"version-history":[{"count":1,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/642\/revisions"}],"predecessor-version":[{"id":644,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/posts\/642\/revisions\/644"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/media\/643"}],"wp:attachment":[{"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/media?parent=642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/categories?post=642"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iteanu.law\/en\/wp-json\/wp\/v2\/tags?post=642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}