Si vous vous faites frapper dans la rue, vous avez le droit de répondre à l'attaque qui vous est faite. Cela s'appelle de la légitime défense et ce principe "s'applique lorsqu'une personne commet un acte de défense justifié en cas d’agression". Aux yeux de la loi, vous pourrez donc ne pas être condamné pour un acte qui est normalement puni. À condition bien sûr que votre réaction soit proportionnée par rapport à l'agression. Mais en matière de hack ? Que se passe-t-il si vous êtes une entreprise privée subissant une attaque informatique ? Auriez-vous éthiquement le droit de réagir ? Surtout, comment prouver que votre geste est aussi justifié que proportionné ?

Actuellement, seuls les États possèdent le monopole de la légitime défense, ce qui revient à dire qu'il est interdit aux citoyens de se faire justice soi-même. Le hack back, cette pratique qui consiste à hacker en retour, n'est inscrit dans aucun texte. Or, les États-Unis vont peut-être changer la donne internationale puisque le pays réfléchit actuellement à un projet de loi permettant d'octroyer aux sociétés privées un droit à l'autodéfense cyber. L'idée serait d'offrir aux entreprises attaquées le droit d'accéder à l’ordinateur de l’attaquant sans son autorisation afin de récolter des informations sur une activité criminelle et la remettre aux forces de l’ordre ou de perturber la dite activité non autorisée. Une évolution légale qui pose de nombreuses questions, notamment à l'heure où l'attribution des attaques est toujours plus difficile.

Escalade de la violence

D'abord, il faudrait parvenir à se mettre d'accord sur la définition du hack back. Car si toute entreprise a bien le droit de se défendre, il convient de faire une distinction formelle entre la défense passive (installer un pare-feu, mettre au point des "honeypots" – pièges pot de miel numérique –, scanner régulièrement ses systèmes, le tout dans un but de surveillance et dissuasion des cyberattaques) et la défense agressive. Lorsque l'on parle de hack back, entendons-nous bien sur le fait qu'il s'agit de défense agressive, autrement dit de toute action allant par-delà ses propres systèmes.

Dans ce cas, autoriser le hack back revient ni plus ni moins à permettre à n'importe qui d'accéder aux systèmes informatiques des autres en toute impunité. "La France est fermement opposée à cela", rappelle Christian Daviot, chargé de mission stratégie à l'ANSSI (Agence nationale pour la sécurité des systèmes d'information), lors d'une table ronde au Forum International de la Cybersécurité. En effet, l'article 21 du chapitre IV "Dispositions relatives à la protection des infrastructures vitales contre la cybermenace" stipule bien que l'État, et seul l'État, peut "répondre à une attaque informatique qui vise les systèmes d’information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation".

Ce n'est pas l'avis de Ariel Levite, maître de recherche à la Fondation Carnegie pour la paix internationale, qui estime lors de la même table ronde que les entreprises privées devraient avoir le droit de se faire justice elles-mêmes "puisque les gouvernements échouent à les défendre". "Les attaques empirent parce que les attaquants restent impunis", croit savoir celui qui regrette que les "agences nationales de cybersécurité soient aussi désarmées face à la réalité des attaques informatiques". Le raisonnement semble avoir ses limites : comment le fait de permettre les attaques tous azimuts, autrement dit la légitimation d'un "Far West numérique", pourrait-il assurer la cyberpaix ?

De la difficulté à attribuer les attaques

Surtout, le droit à la rétorsion ne s'improvise pas. Car avant d'estimer avoir le droit de se faire justice soi-même, encore faut-il être certain de l'identité de son assaillant numérique. Or, il est aujourd'hui si facile d'élaborer de fausses preuves numériques pointant vers le coupable idéal que le droit à la riposte pourrait rapidement se transformer en un jeu dans lequel toutes les frappes sont permises dès lors qu'un acteur jugerait avoir été attaqué par untel ou untel. En droit international, la légitime défense existe bel et bien, mais elle est encadrée par des règles juridiques strictes. Ce ne pourrait pas être factuellement le cas du cyberespace, qui souffre d'un terrible flou autour de l'attribuation des attaques. Dans ce contexte, les erreurs de cible ou encore "les effets d'aubaine" – comme les appelle Guillaume Poupard, directeur général de l'ANSSI – consistant à attaquer un concurrent en feignant avoir été attaqué par lui, seraient légion.

Ces craintes ne semblent pas avoir beaucoup de presse outre-Atlantique, où nombreuses sont les voix à voir en la pratique du hack back une nécessaire force de dissuasion. Problème : puisqu'Internet n'a pas de frontières, si demain les États-Unis adoptent cette proposition de loi, la nouvelle législation américaine risquerait fort d'impacter nos façons de faire européennes. En effet, on peut supposer qu'avec la cyber riposte institutionnalisée, c'est tout un marché de cybermercenaires qui se mettrait en place. Ces agents seraient payés par leurs clients pour amasser des "preuves" – plus ou moins rigoureuses – d'attaques et en mener d'autres, avec le risque que celles-ci soient complètement injustifiées. Imaginez alors la tentation d'un géant américain qui aurait envie d'affaiblir un concurrent européen à moindre frais...

Quelque chose à ajouter ? Dites-le en commentaire.