Bug Bounty Hunting: les dessous juridiques d’un logiciel de hacking “vertueux”

Pratique
Par Pauline Limbrée · 19/01/2018

Fin d’année dernière, l’ISPA (Association belge des fournisseurs de service Internet) couronnait un mémoire défendu à l’UNamur (prix “Student Paper Award”) qui se penche sur les implications juridiques de l’utilisation par des sociétés de programmes de “Bug Bounty Hunting” (littéralement, de chasse aux bugs informatiques) à des fins “éthiques” ou “vertueuses” de sécurisation et d’identification de vulnérabilités.

Que risquent ces sociétés ou encore les hackers qui proposent leurs services? Pauline Limbrée, auteur du mémoire, nous expose ses motivations et conclusions.

Qu’est-ce qu’un programme de Bug Bounty Hunting? 

Commençons par une définition. Un programme de Bug Bounty Hunting (littéralement, un programme de chasse aux bugs informatiques) est un programme par lequel une société annonce publiquement, généralement via son site internet, la possibilité, pour tout individu, d’obtenir une récompense (bounty), suite à l’identification de vulnérabilités informatiques (bugs) au sein d’un périmètre bien défini.

Si l’intérêt pratique de ce type de programme est évident – à savoir, la sécurisation des systèmes informatiques -, sa mise en œuvre pose des questions juridiques pointues, particulièrement au regard de l’infraction de hacking externe et de la protection des données à caractère personnel.

Une infraction de hacking externe?

Dans la mesure où toute personne participant à ce type de programme utilise des techniques et stratégies identiques à celles du hacker “ordinaire”, il m’a paru intéressant d’analyser leur intervention au regard du droit pénal.

L’article 550bis du code pénal incrimine le fait de s’introduire et/ou de se maintenir dans un système informatique, sans en avoir l’autorisation nécessaire.

Dès lors, lorsqu’une société publie sur son site Internet un programme de Bug Bounty Hunting, la question se pose de savoir si la communauté informatique dans son ensemble reçoit l’autorisation de cette dernière d’accéder à son système.

Suite à l’analyse des éléments constitutifs de cette infraction, j’ai constaté, à l’occasion de mon mémoire, que le fait pour l’organisation responsable d’inviter, indistinctement, tout expert en cybersécurité à pénétrer son système pour y découvrir des vulnérabilités semble suffire pour garantir au hacker l’absence de poursuites pénales ultérieures sur base de 550bis, pourvu que cette autorisation soit octroyée préalablement à toute intrusion et soumise à conditions.

“Un laisser-passer pour les hackers?”

À considérer que le hacker possède une telle autorisation et que celle-ci porte sur un système qui traite de données à caractère personnel, celui-ci devra en outre se conformer au dispositif légal applicable en la matière, à savoir le Règlement européen relatif à la protection des données à caractère personnel (ci-après RGPD).

Une violation des données à caractère personnel ?

En effet, lors de l’identification d’une faille informatique, le hacker pose un acte de traitement, ce qui amène à la question de savoir en quelle qualité il agit – sous-traitant ou responsable de traitement?

Cette seconde hypothèse est la plus réaliste car le hacker prend part au programme en question sur base volontaire et de manière autonome dans la mesure où il fixe les finalités et les moyens du traitement qu’il va opérer sur les données stockées au sein du système ciblé.

Retenir cette qualification dans le chef du hacker conduit à le soumettre à de nouvelles obligations, notamment au regard des principes relatifs au traitement des données à caractère personnel.

Suite à l’analyse de ces différentes obligations, je me demande alors s’il est réaliste d’envisager de la part d’un individu, non identifié dans la masse des experts autodidactes en cybersécurité, le strict respect des nombreuses exigences imposées par le Règlement européen.

Un intérêt pratique ou une prise de risque inconsidérée ? 

A l’issue de mes recherches, je constate que la mise en œuvre d’un programme de Bug Bounty Hunting présente un intérêt pratique manifeste s’il intervient dans le cadre de conditions strictes.

Pauline Limbrée (UNamur): lauréate ISPA Student Paper Award, 2017.

A cet égard, il appartient tout d’abord à l’organisation responsable de donner préalablement à toute intrusion son autorisation d’accéder et/ou de se maintenir au sein de son système informatique, de manière à éviter au hacker toute poursuite pénale ultérieure.

Ensuite, il convient d’envisager la protection des données à caractère personnel en tant qu’obligation légale, en raison de la qualité de responsable de traitement des deux acteurs au programme de Bug Bounty Hunting.

Ces deux impératifs devraient figurer dans une “politique de divulgation coordonnée des failles de sécurité”, sorte de feuille de route dont je conseille la teneur dans le cadre de mon mémoire.

Dans ces conditions, la mise en place d’un programme de chasse aux bugs serait une façon de faire d’une pierre deux coups puisque le programme en question permettrait, d’une part, la sécurisation des systèmes d’information et, d’autre part, la protection des données à caractère personnel. Or, il est indispensable de traiter ces deux problématiques selon une même logique étant donné que, nous le savons trop bien, en cas de crise (informatique ou non), la protection de la vie privée est la première chose à laquelle on renonce.

__________

Pauline Limbrée: “Traitement juridique du programme de Bug Bounty Hunting. Au regard de l’infraction de hacking externe et de la protection des données à caractère personnel”

Retour au texte  ]