Aux États-Unis, un projet de loi entend légaliser la pratique du hack-back. Le principe en est simple. Face à une agression physique, les victimes ont le droit de répliquer pour se défendre. C’est la légitime défense. Mais qu’en est-il des agressions virtuelles ? Une entreprise peut-elle lancer une cyberattaque pour répliquer face à des hackers ? Le projet de loi américain entend légaliser cette pratique de hack-back et certains, en France, réclament déjà une loi identique.

Antivirus, pare-feu, formation des collaborateurs et des collaboratrices… les entreprises font actuellement tout pour défendre leur système d’information (SI) face aux cybermenaces grandissantes. Selon le spécialiste Wipro, en 2019 qui a interrogé les entreprises du monde entier, les budgets dédiés à la cybersécurité peuvent atteindre 10 % des dépenses informatiques globales des entreprises, alors que celles-ci doivent déjà payer de multiples licences, des serveurs, des hébergements, une masse salariale… 39 % des entreprises auraient même déjà souscrit une assurance pour affronter les conséquences des cyberattaques. Mais toutes ces solutions restent défensives. Et si les organisations pouvaient contre-attaquer ? Et si elles pouvaient réduire la menace en lançant à leur tour des attaques ciblées contre les hackers ? C’est tout le principe du hack-back, une sorte de légitime défense 2.0.  

Le même pouvoir que l’État ?

Actuellement cette pratique est interdite en France. Seul l’État se réserve le droit de lancer des cyberattaques contre les hackers ou les pays hostiles. Pourtant, certains demandent que les entreprises jouissent également de ce droit. L’argument avancé ? L’État concentre sa force de frappe contre les États adverses, et contre les tentatives de hacking des opérateurs d’importance vitale (OIV) comme les entreprises de l’énergie, des transports, des télécommunications, etc. Toutes les autres sont comme abandonnées face aux menaces, comme le rappellent l’avocat Francis Teitgen et l’ancien bâtonnier Nicolas Ludmann, dans une récente lettre ouverte.

Les États-Unis, premier pays du hack-back ?

Outre-Atlantique, l’argument a convaincu le représentant au Congrès Tom Grave. Ce dernier a déposé une proposition de loi dès 2017, et une seconde en 2019, suite à l’échec de la première. Toujours en cours d’examen, le texte prévoit notamment de dépénaliser les intrusions dans des systèmes informatiques en réponse à des attaques. En revanche, il n’envisage pas de légaliser les actions destructrices (suppression de données ou destruction de matériel à distance), même en légitime défense. L’idée du représentant : autoriser les entreprises à s’introduire dans les systèmes des hackers pour stopper l’attaque, et récupérer les données dérobées.

De nombreuses incertitudes

Si la technique a de quoi séduire, elle n’en pose pas moins d’innombrables questions. La revue du MIT pointe ainsi de nombreux problèmes de taille pour généraliser le hack-back. Par exemple, le fait que les entreprises manquent cruellement de compétences pointues en cybersécurité. Détecter une attaque relève quelquefois du parcours du combattant. Sans parler d’identifier son origine. Selon une étude du spécialiste Wavestone, 35 % des entreprises ne détectent les cyberattaques dont elles font l’objet que 6 à 9 mois après ! Certaines attaques ont même été identifiées 6 ans après leurs débuts. Dans ces conditions, le hack-back apparaît plus que hasardeux.

Autre enjeu : « riposter suppose d’avoir une attribution sans faille », explique Navpreet Jatana, un responsable de la sécurité des systèmes d’information cité dans le MagIT. Ce qui est loin d’être le cas aujourd’hui. Car, en plus de l’efficacité des hackers pour couvrir leurs traces, le réseau Internet lui-même n’a pas été conçu pour tracer les échanges. Contrairement au réseau téléphonique traditionnel qui visait à mettre en contact des numéros et personnes identifiés, le web est une zone d’échanges ouverts, libres et anonymes.

Mais, pour le MIT, le premier risque est d’ordre géopolitique. Sachant que les principales cyberattaques d’aujourd’hui proviennent de la Corée du Nord, de la Russie et de l’Iran, que pourrait-il se passer si une entreprise privée ripostait face à ces États ? Le risque pour la paix mondiale serait bien trop grand à prendre. C’est d’ailleurs la raison pour laquelle, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) reste fermement opposée à la pratique du hack-back.

Lire aussi

Comment les nouveaux moyens de paiement
jouent la carte de la sécurité

Nouveaux moyens de paiement : le téléphone
Technologie & Systèmes
14 septembre 2021

Cartes bancaires biométriques, téléphones et montres NFC ou encore bagues connectées sont mis au défi de garantir aux consommateurs des achats simples et toujours plus sécurisés. Banques, industriels, start-up et GAFA sont sur les rangs pour résoudre l’équation, dans un contexte où la fraude se réinvente chaque jour. Le pari…

Quels garde-fous pour la Safe City ?

Batiment lumineux de nuit en ville
Technologie & Systèmes
27 juillet 2021

La Safe City, pendant sécuritaire de la Smart City, suscite actuellement des inquiétudes. Dans les villes de demain, capteurs, drones et caméras pourraient nuire à la vie privée et aux libertés individuelles des citadins et citadines. Heureusement, des solutions existent pour garantir la sécurité de chacun. Explications.  Depuis quelques années,…

Il est temps de considérer
la cybercriminalité comme une crise

Lilian LaugeratPRÉSIDENT DE SOLACE, EXPERT EN GESTION DES RISQUES SÛRETÉ
Technologie & Systèmes
13 juillet 2021

Depuis de nombreux mois, pas un jour ne survient sans qu’une cyberattaque ne défraie la chronique. Ces attaques semblent faire partie de notre quotidien. Pourtant, elles révèlent une réalité dont nous ne mesurons pas encore la véritable ampleur. Sans tomber dans le catastrophisme, la cybercriminalité est devenue et restera encore…