Aux États-Unis, un projet de loi entend légaliser la pratique du hack-back. Le principe en est simple. Face à une agression physique, les victimes ont le droit de répliquer pour se défendre. C’est la légitime défense. Mais qu’en est-il des agressions virtuelles ? Une entreprise peut-elle lancer une cyberattaque pour répliquer face à des hackers ? Le projet de loi américain entend légaliser cette pratique de hack-back et certains, en France, réclament déjà une loi identique.

Antivirus, pare-feu, formation des collaborateurs et des collaboratrices… les entreprises font actuellement tout pour défendre leur système d’information (SI) face aux cybermenaces grandissantes. Selon le spécialiste Wipro, en 2019 qui a interrogé les entreprises du monde entier, les budgets dédiés à la cybersécurité peuvent atteindre 10 % des dépenses informatiques globales des entreprises, alors que celles-ci doivent déjà payer de multiples licences, des serveurs, des hébergements, une masse salariale… 39 % des entreprises auraient même déjà souscrit une assurance pour affronter les conséquences des cyberattaques. Mais toutes ces solutions restent défensives. Et si les organisations pouvaient contre-attaquer ? Et si elles pouvaient réduire la menace en lançant à leur tour des attaques ciblées contre les hackers ? C’est tout le principe du hack-back, une sorte de légitime défense 2.0.  

Le même pouvoir que l’État ?

Actuellement cette pratique est interdite en France. Seul l’État se réserve le droit de lancer des cyberattaques contre les hackers ou les pays hostiles. Pourtant, certains demandent que les entreprises jouissent également de ce droit. L’argument avancé ? L’État concentre sa force de frappe contre les États adverses, et contre les tentatives de hacking des opérateurs d’importance vitale (OIV) comme les entreprises de l’énergie, des transports, des télécommunications, etc. Toutes les autres sont comme abandonnées face aux menaces, comme le rappellent l’avocat Francis Teitgen et l’ancien bâtonnier Nicolas Ludmann, dans une récente lettre ouverte.

Les États-Unis, premier pays du hack-back ?

Outre-Atlantique, l’argument a convaincu le représentant au Congrès Tom Grave. Ce dernier a déposé une proposition de loi dès 2017, et une seconde en 2019, suite à l’échec de la première. Toujours en cours d’examen, le texte prévoit notamment de dépénaliser les intrusions dans des systèmes informatiques en réponse à des attaques. En revanche, il n’envisage pas de légaliser les actions destructrices (suppression de données ou destruction de matériel à distance), même en légitime défense. L’idée du représentant : autoriser les entreprises à s’introduire dans les systèmes des hackers pour stopper l’attaque, et récupérer les données dérobées.

De nombreuses incertitudes

Si la technique a de quoi séduire, elle n’en pose pas moins d’innombrables questions. La revue du MIT pointe ainsi de nombreux problèmes de taille pour généraliser le hack-back. Par exemple, le fait que les entreprises manquent cruellement de compétences pointues en cybersécurité. Détecter une attaque relève quelquefois du parcours du combattant. Sans parler d’identifier son origine. Selon une étude du spécialiste Wavestone, 35 % des entreprises ne détectent les cyberattaques dont elles font l’objet que 6 à 9 mois après ! Certaines attaques ont même été identifiées 6 ans après leurs débuts. Dans ces conditions, le hack-back apparaît plus que hasardeux.

Autre enjeu : « riposter suppose d’avoir une attribution sans faille », explique Navpreet Jatana, un responsable de la sécurité des systèmes d’information cité dans le MagIT. Ce qui est loin d’être le cas aujourd’hui. Car, en plus de l’efficacité des hackers pour couvrir leurs traces, le réseau Internet lui-même n’a pas été conçu pour tracer les échanges. Contrairement au réseau téléphonique traditionnel qui visait à mettre en contact des numéros et personnes identifiés, le web est une zone d’échanges ouverts, libres et anonymes.

Mais, pour le MIT, le premier risque est d’ordre géopolitique. Sachant que les principales cyberattaques d’aujourd’hui proviennent de la Corée du Nord, de la Russie et de l’Iran, que pourrait-il se passer si une entreprise privée ripostait face à ces États ? Le risque pour la paix mondiale serait bien trop grand à prendre. C’est d’ailleurs la raison pour laquelle, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) reste fermement opposée à la pratique du hack-back.

Lire aussi

Comment le secteur maritime s’organise pour toucher couler les cybercriminels

Technologie & Systèmes
26 juillet 2022

Parce qu’il s’est très fortement digitalisé et qu’il génère d’importants flux financiers, le domaine maritime est devenu une cible de choix pour les cyberattaques. Lesquelles sont en forte progression ces dernières années. Face aux menaces, le secteur s’organise pour mener la bataille. L’armateur français CMA CGM (4e armateur mondial) le…

Cybersécurité : des professionnels
au bord de la crise de nerfs

Technologie & Systèmes
19 juillet 2022

Phishing, ransomware, fuite de données, troubles géopolitiques générateurs de cyberattaques… Jamais les entreprises n’auront fait face à une telle panoplie de menaces. En première ligne, les responsables de la sécurité informatique ne savent plus où donner de la tête. Au point qu’ils sont toujours plus nombreux à se dire sous…

Guerre en Ukraine :
des entreprises sur le qui-vive,
mais des cyberattaques contenues

image d'une femme sur un ordinateur
Technologie & Systèmes
12 juillet 2022

En mai 2022, le Club des experts de la sécurité de l’information et du numérique (CESIN) a pris le pouls de 300 dirigeants de PME et ETI. Objectif : comprendre si leur niveau de cybervigilance était monté d’un cran avec la guerre en Ukraine, du fait de l’agressivité russe en matière…