Abonnez-vous à notre
Newsletter

Cybermenaces : les entreprises pourront-elles bientôt contre-attaquer avec le hack-back ?

gants de box posés sur un ring

Aux États-Unis, un projet de loi entend légaliser la pratique du hack-back. Le principe en est simple. Face à une agression physique, les victimes ont le droit de répliquer pour se défendre. C’est la légitime défense. Mais qu’en est-il des agressions virtuelles ? Une entreprise peut-elle lancer une cyberattaque pour répliquer face à des hackers ? Le projet de loi américain entend légaliser cette pratique de hack-back et certains, en France, réclament déjà une loi identique.

Antivirus, pare-feu, formation des collaborateurs et des collaboratrices… les entreprises font actuellement tout pour défendre leur système d’information (SI) face aux cybermenaces grandissantes. Selon le spécialiste Wipro, en 2019 qui a interrogé les entreprises du monde entier, les budgets dédiés à la cybersécurité peuvent atteindre 10 % des dépenses informatiques globales des entreprises, alors que celles-ci doivent déjà payer de multiples licences, des serveurs, des hébergements, une masse salariale… 39 % des entreprises auraient même déjà souscrit une assurance pour affronter les conséquences des cyberattaques. Mais toutes ces solutions restent défensives. Et si les organisations pouvaient contre-attaquer ? Et si elles pouvaient réduire la menace en lançant à leur tour des attaques ciblées contre les hackers ? C’est tout le principe du hack-back, une sorte de légitime défense 2.0.  

Le même pouvoir que l’État ?

Actuellement cette pratique est interdite en France. Seul l’État se réserve le droit de lancer des cyberattaques contre les hackers ou les pays hostiles. Pourtant, certains demandent que les entreprises jouissent également de ce droit. L’argument avancé ? L’État concentre sa force de frappe contre les États adverses, et contre les tentatives de hacking des opérateurs d’importance vitale (OIV) comme les entreprises de l’énergie, des transports, des télécommunications, etc. Toutes les autres sont comme abandonnées face aux menaces, comme le rappellent l’avocat Francis Teitgen et l’ancien bâtonnier Nicolas Ludmann, dans une récente lettre ouverte.

Les États-Unis, premier pays du hack-back ?

Outre-Atlantique, l’argument a convaincu le représentant au Congrès Tom Grave. Ce dernier a déposé une proposition de loi dès 2017, et une seconde en 2019, suite à l’échec de la première. Toujours en cours d’examen, le texte prévoit notamment de dépénaliser les intrusions dans des systèmes informatiques en réponse à des attaques. En revanche, il n’envisage pas de légaliser les actions destructrices (suppression de données ou destruction de matériel à distance), même en légitime défense. L’idée du représentant : autoriser les entreprises à s’introduire dans les systèmes des hackers pour stopper l’attaque, et récupérer les données dérobées.

De nombreuses incertitudes

Si la technique a de quoi séduire, elle n’en pose pas moins d’innombrables questions. La revue du MIT pointe ainsi de nombreux problèmes de taille pour généraliser le hack-back. Par exemple, le fait que les entreprises manquent cruellement de compétences pointues en cybersécurité. Détecter une attaque relève quelquefois du parcours du combattant. Sans parler d’identifier son origine. Selon une étude du spécialiste Wavestone, 35 % des entreprises ne détectent les cyberattaques dont elles font l’objet que 6 à 9 mois après ! Certaines attaques ont même été identifiées 6 ans après leurs débuts. Dans ces conditions, le hack-back apparaît plus que hasardeux.

Autre enjeu : « riposter suppose d’avoir une attribution sans faille », explique Navpreet Jatana, un responsable de la sécurité des systèmes d’information cité dans le MagIT. Ce qui est loin d’être le cas aujourd’hui. Car, en plus de l’efficacité des hackers pour couvrir leurs traces, le réseau Internet lui-même n’a pas été conçu pour tracer les échanges. Contrairement au réseau téléphonique traditionnel qui visait à mettre en contact des numéros et personnes identifiés, le web est une zone d’échanges ouverts, libres et anonymes.

Mais, pour le MIT, le premier risque est d’ordre géopolitique. Sachant que les principales cyberattaques d’aujourd’hui proviennent de la Corée du Nord, de la Russie et de l’Iran, que pourrait-il se passer si une entreprise privée ripostait face à ces États ? Le risque pour la paix mondiale serait bien trop grand à prendre. C’est d’ailleurs la raison pour laquelle, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) reste fermement opposée à la pratique du hack-back.