HackBack : allons-nous vers un Far West numérique ?

Vivrons-nous demain dans un monde où chacun pourra se faire justice lui-même et légalement hacker son concurrent, sous prétexte d’un "droit à la rétorsion" ?

Le monde moderne, extrêmement informatisé, croule sous des attaques informatiques de plus en plus violentes, parfois ciblées (quelques exemples : le parti démocrate américain, la République en Marche, HBO, une centrale électrique ukrainienne, le parlement britannique, TV5 Monde…), parfois massive (exemples : les récents ransomware Wannacry et NotPetya, les dénis de service majeurs intervenus aux Etats-Unis et en France en début d’année…). Nul n’est à l’abri… mais au moins de telles attaques sont-elles généralement considérées comme illégales, et leurs auteurs (potentiellement) poursuivis. 

Vivrons-nous demain dans un monde où chacun pourra se faire justice lui-même et légalement hacker son concurrent (agresseur réel ou supposé), sous prétexte d’un « droit à la rétorsion » ? Le débat se tient en ce moment aux Etats-Unis, où de nombreuses voix, fédérées par une récente proposition de loi (voir encadré), promeuvent un droit à la contre-attaque informatique « hackback ». 

Quand on sait à quel point il est difficile, parfois impossible, de déterminer qui sont les vrais auteurs d’une attaque informatiques, et à quel point il est facile de forger des « preuves » numériques pointant vers le « coupable » de son choix, une telle évolution juridique nous rapprocherait dangereusement d’un Far-West numérique. Tous les cyber-coups seraient permis dès lors qu’on se considérerait comme attaqué (mais qui ne l’est pas ?).

Si la législation américaine devait autoriser les contre-attaques, il se créerait immédiatement aux Etats-Unis un écosystème de prestataires d’attaque informatique, « cyber-mercenaires » qui se chargeraient, contre rémunération élevée, de collecter quelques indices (sérieux ou pas) impliquant une cible intéressante, puis d’attaquer celle-ci au nom du droit à la rétorsion de leur client, droit qui correspond si bien à l’état d’esprit Far-West cher à la culture américaine.

L’intérêt économique des cyber-mercenaires à mener des attaques informatiques rencontrerait alors l’intérêt stratégique de grands acteurs économiques américains à déstabiliser leurs adversaires (concurrents, cibles d’acquisition…) ; d’autant plus que ceux-ci, s’ils sont étrangers, ne pourront employer les mêmes moyens et auront de grandes difficultés à faire valoir leurs droits, même légitimes, via le système judiciaire américain dont on sait la complexité et le coût.

Un peu de politique fiction… imaginons qu’une grand entreprise américaine d’un secteur concurrentiel (que nous appellerons Bellum Inc) s’irrite des succès d’un grand concurrent européen (que nous nommerons Aircoach SE). Sur les milliers de cyberattaques que toute grande organisation subit chaque année, il sera aisé aux cyber-mercenaires engagés par Bellum Inc d’en identifier une semblant pointer vers une adresse IP attribuée à Aircoach SE, voire de forger une telle « preuve » de toutes pièces au nom d’une conjonction d’intérêts bien comprise entre Bellum Inc et son cyber-mercenaire. La suite se devine aisément : le cyber-mercenaire engage alors, sur commande de Bellum Inc et en toute légalité, des attaques informatiques sophistiquées contre Aircoach SE pour accéder à ses systèmes d’information afin de s’en approprier certains contenus sensibles, d’en modifier certaines données ou d’en saboter des composantes.

Est-ce le monde dans lequel nous voulons vivre, travailler et communiquer demain ? Sinon, comment éviter cette dérive pernicieuse ? 

Il conviendrait de convaincre les Américains des dangers d’une telle législation, et le cas échéant d’en rendre la mise en œuvre difficile contre les intérêts français et européens. Quelques moyens possibles :

  • Notre diplomatie pourrait menacer de recourir à une législation semblable en France et en Europe. Sans se faire trop d’illusion sur l’efficacité de cette menace, une telle évolution étant si contraire aux valeurs européennes !
  • Avec les pays adoptant ce genre de législation, notre Administration pourrait ralentir voire stopper l’assistance administrative et l’entraide internationale judiciaire en matière d’atteinte aux systèmes de traitement automatisé de données (article 323-1 et suivants du code pénal). En effet, pourquoi aider des pays à poursuivre des auteurs de délits à leur encontre, alors même qu’ils autoriseraient leurs propres ressortissants à commettre ces mêmes délits chez nous ?
  • Le Gouvernement pourrait décider de focaliser nos services de renseignement vers les cyber-mercenaires, dans l’objectif de connaître leurs actions et leurs clients afin de prévenir, autant que possible, les atteintes aux intérêts français les plus importants.
  • Renseignées et soutenues par l’Etat, les organisations victimes pourraient poursuivre systématiquement devant les tribunaux américains les attaques soupçonnées de relever du « droit de rétorsion », en demandant des dommages et intérêts immodérés.
  • Par ailleurs, le sujet pourrait être porté devant les organisations multilatérales (OCDE qui définit les bonnes pratiques des affaires, OMC pour prévenir ou régler les litiges commerciaux).

Fondamentalement, la meilleure stratégie pour éviter que se généralisent les contre-attaques informatiques, légales ou sauvages, aux Etats-Unis et ailleurs, serait double : d’une part donner aux acteurs économiques des assurances que les attaquants qui les visent seront effectivement poursuivis ; d’autre part réduire les dommages résultant des cyber-attaques.

  • La poursuite généralisée des attaquants informatiques requiert une meilleure coopération internationale, aujourd’hui limitée en raison du manque de confiance entre pays (résultant de l’utilisation intensive de ces moyens par les services de renseignement).
  • La réduction des dommages causés par les cyber-attaques requiert une prise en compte plus systématique qu’aujourd’hui du risque cyber dans tous les aspects de la vie des organisations, y compris en matière de gouvernance, sensibilisation du personnel, investissement, conduite de projets, transformation digitale, opérations informatiques…

Alors que tant d’attaques informatiques sont menées par des organisations criminelles de toutes sortes, ne dispersons pas nos efforts en rajoutant des attaques et des attaquants : l’enjeu essentiel, qui doit focaliser les attentions et les compétences, reste de rendre robustes la protection et la défense de nos systèmes d’information ; cela demeure un objectif ambitieux. L’attaque informatique, même menée en rétorsion, doit rester l’apanage des services spécialisés opérant dans le cadre de l’Etat de droit sous l’autorité d’un gouvernement légitimement élu.

Des réactions actives aux attaques informatiques

Les victimes d’attaques informatiques ne sont pas contraintes à la passivité, sans pour autant s’inscrire dans une logique de rétorsion ou de contre-attaque. Au-delà de la gestion de la crise, de la mise en sécurité et du renforcement de leurs systèmes d’information, qui constituent bien évidemment les toutes premières priorités en cas d’attaque, rien n’empêche l’organisation visée de laisser à la portée de l’attaquant divers fichiers actifs susceptibles, une fois volés et ouverts, de renvoyer des éléments d’information utiles sur l’environnement informatique de l’attaquant, voire ses adresses IP… Sans constituer un délit, une telle manœuvre pourrait utilement alimenter l’enquête. Gardons-nous cependant de légaliser trop largement ces « mesures actives », car les « hackers éthiques » talentueux sont rares, et si trop d’entre eux se tournent vers l’attaque, plus amusante, les forces de la défense informatique se dégarniront encore alors que là est la vraie priorité d’une politique de cybersécurité.

La proposition de loi du Représentant républicain Tom Graves

Intitulée « Active Cyber Defense Certainty Act », cette proposition de mars 2017 veut légaliser les intrusions informatiques dans des ordinateurs considérés comme attaquants. Si elle comporte à ce jour diverses précautions visant à limiter les dérives possibles (notification préalable de la contre-attaque au FBI, interdiction de causer des dommages…), cette proposition est explicitement présentée par son auteur comme un premier pas vers un droit à la contre-attaque. Les premiers soutiens de cette proposition de loi sont certaines sociétés de sécurité informatique, qui trouveraient là un nouveau business, et des firmes d’avocat, qui voient l’immense potentiel de contentieux que représenterait un Far-West numérique ! Tom Graves prévoit aussi le déploiement de nouveaux outils informatiques de rétorsion, qu’il imagine être de nature à dissuader les attaquants – ce qui est illusoire car la facilité des attaques informatiques et la difficulté à les attribuer rend toute dissuasion vaine.