Quelle place pour l’éthique en cybersécurité ?

Quelle place pour l’éthique en cybersécurité | Stormshield

À situation exceptionnelle, positionnement exceptionnel : au début du mois de mars, des groupes hackers comme Maze, DoppelPaymer, Ryuk ou encore PwndLocker et Ako avaient annoncé un cessez-le-feu durant la crise sanitaire du Covid-19. Malgré cela, dès le 16 mars, le département de la Santé et des Services sociaux (Department of Health and Human Services) aux États-Unis subit une attaque par déni de service distribué (DDoS, pour Distributed Denial of Service). De l’autre côté de l’Atlantique, le 22 mars, alors que de nombreux patients affluent au sein de services surchargés, l'Assistance Publique-Hôpitaux de Paris est victime à son tour d'une violente cyberattaque. Suffisant pour soulever la question de la place de l’éthique dans les actions des hackers.

 

La réponse à la question de la place de l’éthique chez les hackers dépendra forcément du point de vue de chacun, et de sa propre définition de ce qui est éthique et de ce qui ne l’est pas. Récemment, deux hacktivistes livraient une partie de leur définition de l’éthique. Au nom de la protection des données personnelles des citoyens, l’hacktiviste français Baptiste Robert (alias Elliot Alderson) s’est lancé dans une analyse poussée des applications de tracking des individus. Après avoir détecté et exposé les failles de l’application indienne Aarogya Setu, il s’est concentré sur la version française, StopCovid, et la version pakistanaise, COVID-19 Gov PK. Dans un autre genre, Phineas Fisher lançait l’année dernière son propre bug bounty pour récompenser toutes les personnes lançant des piratages à motivation politique et conduisant à la divulgation de documents d’intérêt public… En parallèle, un organisme d’aide aux jeunes sans-abris canadiens était victime d’un ransomware début janvier 2020. Dans un paysage complexe à plusieurs niveaux, quelle place pour l’éthique ?

 

L’éthique, une notion éminemment subjective

Rapide introduction philosophique ici. Pour Jean-Jacques Nillès, fondateur du cabinet Socrates spécialisé en éthique, la question n’est pas si simple : « Si la distinction entre le légitime et le légal est communément admise, elle n’est pourtant pas prise pour argent comptant par tous. Le rapport entre droit et éthique est un rapport complexe que les gens ont tendance à simplifier. Il y a une ambition, un fond éthique dans le droit. Il y a des cas atypiques où l’on observe une dissonance entre le légal et l’éthique, et encore, ce n’est pas tout à fait exact… Il s’agit plutôt de cas rarissimes où un principe du droit vient se télescoper à une règle. Le droit n’apporte pas de réponse standard. Ce qu’il propose, c’est l’énonciation d’un certain nombre de possibilités. Dans cette multiplicité des options, voilà où se place l’éthique. » En résumé, le droit définirait un certain nombre de possibilités, là où l’éthique consisterait à faire un choix parmi celles-ci. Pour Alice Louis, Directrice du projet de création du “Fonds Cyber Éthique pour une souveraineté numérique”, « l’éthique est la pensée des principes et des valeurs. En regard de celle-ci, la morale et/ou "la moraline" disent ce qui est juste, bien ou mal de faire. Autrement dit, et comme l’énonce notamment le sociologue Max Weber : l’éthique est un acte de responsabilisation qui ne saurait se réduire à la seule expression d’une opinion. » Un avis partagé par Philippe Sanchez, responsable de l’antenne lilloise du cabinet Socrates : « L’éthique, une notion subjective, peut varier d’un individu à l’autre. Elle ira toujours se nicher là où le droit laisse des vides béants. Sans règle, tout un chacun pourrait justifier ses actes au nom d’une éthique interprétée librement… »

L’éthique, une notion subjective, peut varier d’un individu à l’autre. Elle ira toujours se nicher là où le droit laisse des vides béants

Philippe Sanchez, responsable de l’antenne lilloise du cabinet Socrates

En effet, nous serions nombreux à reconnaitre l’éthique des hackers impliqués en Tunisie lors du printemps arabe… Mais il sera moins évident de reconnaître la légitimité d’un groupe à la solde du Kremlin, ébranlant le principe de non-ingérence de droit international en s’infiltrant chez les démocrates américains lors d’une élection présidentielle. Les cybercriminels des uns, les hacktivistes des autres ? Peut-être. Surtout si, à l’inverse du philosophe Emmanuel Kant, l’on considère que l’éthique est une notion relative, façonnée par des concepts spécifiques à une culture

 

Les codes de la communauté hacker

À l’origine de l’éthique hacker, fortement imprégnée de la sous-culture cyberpunk, il y a une forte dimension contestataire. Les personnages de romans sont des anti-héros, « souvent pions manipulés dans un imbroglio de sociétés secrètes, services gouvernementaux, syndicats du crime », le tout « plus ou moins dirigé par les cadres supérieurs de multinationales devenues plus puissantes que des États » et dont les « dirigeants sont souvent dénués de tout sens moral ». Ces anti-héros sont alors présentés comme « les grains de sable dans l'engrenage ». Par la suite, est venue s’ajouter la recherche de la connaissance et de la compréhension des systèmes informatiques. Et l’envie de préserver Internet en tant qu’espace de liberté absolue contre les règles des États et des entreprises. Pour cela, il est admis d’infiltrer ceux de divers institutions gouvernementales, financières ou militaires pour en décortiquer l’architecture. En 1984, le journaliste Steven Levy, auteur de Hackers : Heroes of the Computer Revolution, résume ainsi l’éthique hacker : ne pas détruire les réseaux informatiques infiltrés, ne pas faire de profit, et faire circuler l’information.

Y aurait-il alors des codes à cette communauté hacker ? Black Hat, White Hat, Grey Hat ou encore Blue Hat : s’il existe une multiplicité de profils de hackers, elle va de pair avec autant de codes propres à chaque profil. Les codes vont varier selon l’obédience des hackers, les rendant pour un tiers plus ou moins dignes de confiance : « À l’instar d’un Baptiste Robert, un grey hat va divulguer publiquement l’existence d’une faille qui met en danger les utilisateurs, tandis qu’un white hat donnera l’information à la boite pour laquelle il bosse. Ce dernier ne va jamais sortir des clous légalement parlant, alors que les autres peuvent prendre certains chemins différents », explique Fabrice Epelboin, spécialiste français de l’hacktivisme.

À quel moment un hacker va-t-il décider de prendre tel ou tel chemin ? Et au fur et à mesure de son parcours personnel, ses décisions peuvent-elle être influencées ? En d’autres termes, l’éthique est-elle une question de maturité ? Dans le viseur de cette série de question, le profil des script-kiddies, ces bidouilleurs férus de résultats plutôt que de connaissance, aux motivations complexes. « Ce qui différencie fondamentalement les script-kiddies, c’est la méconnaissance des mécanismes. Ils vont utiliser des recettes toutes faites au lieu de développer leurs propres codes, ce qui peut parfois les conduire à sous-estimer les dommages qu’ils engendrent », précise Davide Pala, Ingénieur Avant-Vente Stormshield en Italie. Cela ne les empêche pas pour autant de se mobiliser parfois sous l’égide de valeurs communes, au nom d’une éthique qui leur est, une fois encore, propre. « Par exemple, au sein des Anonymous, c’est exactement ça, explique Fabrice Epelboin. On retrouve chez eux de nombreux script-kiddies qui ne font qu’appuyer sur des boutons. En masse, il n’en reste pas moins qu’ils peuvent représenter une force de frappe conséquente. Cet effet de foule peut aussi bien être mis au service d’une manœuvre politique que de criminalités numériques ; donner lieu à des bug bounties ou des ransomwares selon le système de valeurs des individus. »

En parallèle, force est de constater que les vulnérabilités informatiques sont devenues aujourd’hui une économie à part entière. Dès lors, l’éthique a-t-elle un prix ? Parce qu’il peut représenter une manne financière importante sur les marchés réels ou parallèles, la question de la vulnérabilité attire depuis plusieurs années des mafias, des grands groupes obscurs de hackers mais aussi de grands groupes étatiques. À chacun ses objectifs, mais surtout ses capacités en termes de ressources ; qu’elles soient financières dans un premier temps, et humaines dans un second temps. Les moyens financiers colossaux qui peuvent être ainsi mis en avant ainsi que les promesses de gains astronomiques et ‘faciles’ peuvent séduire certains hackers – et leur faire renoncer à tout ou partie de leur éthique personnelle. D’autant plus que de l’autre côté du miroir, les bug bounties mis en place et les salaires proposés par les institutions et entreprises ne se situent pas à la même échelle.

Mais alors, dans quelle mesure peut-on alors faire confiance à un hacker ? Et que vaudrait la parole d’un hacker ? Impossible de répondre de manière tranchée à ces deux questions, tant la réponse dépendra toujours de la personne en face…Même si subsistent encore quelques vestiges des débuts du mouvement hacker, la topographie s’est diversifiée et les codes régissant la communauté ne sont plus si fédérateurs. Alors pour tenter de rendre ce paysage complexe plus lisible, le terme de « hacker éthique » émerge. Mais sans grand succès...

 

Hacker éthique : une appellation creuse ?

Avoir besoin d’accoler ces deux termes laisse supposer qu’ils seraient à l’origine diamétralement opposés. Les white hat seraient alors gentils, les black hat méchants ? « Rien ne serait plus faux, affirme Fabrice Epelboin. Black hat, white hat, hacker éthique ou encore ingénieur cybersécurité, ce ne sont là que des dénominations marketing qui ne recouvrent pas grand-chose et témoignent de l’envie des médias de simplifier à loisir. » Pour lui, la seule chose qui distingue un grey hat d’un white hat est le cadre juridique dans lequel ce dernier exerce, au service de la cybersécurité. « De fait, le hacker éthique pourrait travailler pour le compte de marchands d’armes ou pour une entreprise comme Monsanto, et il serait encore considéré comme ‘éthique’. Or, cela ne relèverait pas de l’éthique, simplement du légal. Évidemment, un hacker peut avoir une conduite éthique et en même temps illégale, par exemple face à des régimes oppressifs… »

Black hat, white hat, hacker éthique ou encore ingénieur cybersécurité, ce ne sont là que des dénominations marketing qui ne recouvrent pas grand-chose et témoignent de l’envie des médias de simplifier à loisir

Fabrice Epelboin, spécialiste français de l’hacktivisme

Pour Fabrice Epelboin, la distinction binaire entre hacker éthique et non-éthique ne peut refléter la réalité. D’après lui, un hacker peut en cacher un autre. « La culture des hackers ne pousse pas vraiment à aller bosser tous les jours à 9h à La Défense… Une configuration possible, c’est d’être white hat le jour pour gagner sa vie, grey hat la nuit pour défendre des principes. À vrai dire, je ne connais pas de hackers qui n’aient jamais franchi la ligne rouge, car la frontière avec le légal est très fine, et être anonyme est tellement facile. En outre, protéger les utilisateurs requière souvent de forcer les entreprises à les sécuriser, ce qui peut prendre des formes que le Droit réprouve. »

 

L’éthique en cyber : à la recherche d’un cadre

Universelle pour les uns, relative pour les autres… Pour s’accorder l’éthique, il faut la border par le droit. De fait, de nombreuses plateformes comme Yogosha, YesWeHack, ou encore HackerOne se dédient exclusivement à la chasse de failles numériques via des programmes de bug bounty, tandis que d’autres entreprises, comme Synacktiv, popularisent les tests d’intrusion (ou pen-test).

Ces piratages éthiques sont alors pratiqués dans des espaces extrêmement contrôlés. Ici, les hackers s’alignent sur les exigences de conformité imposées par les entreprises et les gouvernements, en plus de respecter certains codes propres au milieu : toute faille décelée doit être signalée ; la vie privée de l’organisation, de ses employés et utilisateurs et des tiers doit être respectée ; et toute brèche créée ou exploitée doit être colmatée. Ces principes, édictés par le Forum of Incident Response and Security Teams, étaient rappelés dans un récent article des équipes de Kaspersky. Les hackers se pliant à ces exigences peuvent même obtenir le titre de « Certified Ethical Hacker », décerné par l’organisme américain EC-Council, et être identifiés en tant que hackers éthiques par l’ANSSI. Et ainsi bénéficier depuis 2016 d’une certaine protection, régie par l’article 47 de la loi n°2016-1321.

 

Alice Louis concluant : « Il existe des hackers qui souhaitent évoluer dans un cadre légal, et ainsi s’inscrire dans une démarche éthique au sens de l’éthique normative, en particulier, du conséquentialisme. Cette approche de l’éthique explique que le jugement de la moralité d’une action doit se faire en fonction des conséquences de cette action. Dans cette hypothèse, ces hackers deviennent de véritables alliés pour les organisations. Bien évidemment, il conviendra de prendre un certain nombre de précautions, d’effectuer des vérifications préalables, notamment, auprès de tiers de confiance, et, in fine, de rigoureusement encadrer les modalités contractuelles de leur intervention ». Les bases essentielles pour une véritable relation de confiance…

Partager sur

Médiatisé et amplifié par l’arrivée du mouvement des Anonymous en 2007, l’hacktivisme semblait promis à un brillant avenir. Mais depuis 2012, la même question revenait : mais où est passé l’hacktivisme dans le cyberespace ?
Héros contre marginaux. Le personnage du hacker a longtemps fait osciller les experts, les médias et le grand public entre ces deux pôles, quitte à alimenter les clichés sur cette communauté. Mais comment expliquer cette polarisation ?

À propos de l'auteur

mm
Victor Poitevin
Digital Manager, Stormshield

Victor est le Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... c'est tout l'écosystème de Stormshield qui est mis à contribution. Et pour répondre aux hautes ambitions digitales du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.