Le 3 août, l’expert britannique en sécurité informatique Marcus Hutchins devait embarquer dans un avion pour rentrer au Royaume-Uni. Il venait d’assister à une grande conférence destinée aux hackeurs à Las Vegas, auréolé de sa récente célébrité : en mai, il avait mis un coup d’arrêt à la propagation du rançongiciel viral WannaCry, le propulsant au rang de chevalier blanc de la sécurité informatique, salué de toute part.

Lire nos explications : Cyberattaque : comment un jeune Anglais est devenu un « héros accidentel »

Mais M. Hutchins n’a jamais traversé l’Atlantique. Arrêté par le FBI, il a passé le week-end en prison, accusé par la justice américaine d’avoir créé et commercialisé Kronos, un logiciel malveillant destiné à pirater des comptes bancaires. Cet épisode a été un choc pour certains membres de la communauté de la sécurité informatique. Ils ont été nombreux à faire part de leur scepticisme sur sa culpabilité, dépeignant un expert désintéressé ayant dédié ses talents à combattre les assaillants et à œuvrer pour davantage de sécurité. L’absence de preuve pesant sur M. Hutchins dans le document d’accusation publié par les autorités a ajouté à l’incrédulité ambiante.

Lire : WannaCry : le hackeur sauveur inculpé

Une angoisse latente

Marcus Hutchins avait été qualifié de « héros » pour avoir ralenti la propagation du rançongiciel WannaCry.

Marcus Hutchins avait été qualifié de « héros » pour avoir ralenti la propagation du rançongiciel WannaCry. / Frank Augstein / AP

Cet épisode réveille aussi une crainte latente chez une partie des professionnels de ce secteur : celle d’être inquiété par les forces de l’ordre. Elle s’explique d’abord car historiquement, ce milieu regorge de « hackeurs ». Contrairement à ce que l’on croit souvent à tort, ce terme n’est pas un équivalent de pirate informatique, mais désigne une personne passionnée par la technologie, déterminée à en comprendre en profondeur le fonctionnement, quitte à la détourner de ses fonctions originelles.

Cette démarche a donc conduit nombre de passionnés à explorer logiciels ou sites d’entreprises et d’administration pour y découvrir des dysfonctionnements ou des failles. Cette démarche, pourtant vertueuse car elle a contribué à faire progresser la connaissance en matière de sécurité et à corriger des vulnérabilités, conduit parfois à s’approcher de la ligne jaune : pour prouver qu’un cadenas peut être cassé, il faut parfois essayer de le casser.

Le droit, mal adapté, a parfois jeté certaines activités des hackeurs, pourtant réalisées sans intention de nuire, du mauvais côté de cette ligne, et certains métiers, qui consistent à comprendre comment fonctionnent les groupes cybercriminels pour s’en protéger, peuvent mener en eaux troubles. Beaucoup de hackeurs ont été inquiétés, par exemple après des plaintes d’entreprises dont ils avaient repéré des failles de sécurité.

« Tous plus ou moins coupables de quelque chose »

En France, l’« affaire Kitetoa », puis Bluetouff, sont deux exemples de condamnations d’internautes pour « piratage » – le premier ayant été relaxé en appel – pour avoir pénétré dans des systèmes censés être protégés mais laissés grands ouverts. C’est sans compter ceux qui, par jeu, par défi ou par intérêt, franchissent allègrement cette ligne avant de se ranger des voitures. Bref, « si tous [les membres] de la communauté étaient passés au peigne fin, on serait tous plus ou moins coupables de quelque chose », résume le hackeur français x0rz.

Ce type de profil existe « mais c’est une vision romantique », nuance Frédéric Raynal, fondateur de l’entreprise Quarkslab et figure de la communauté française de la sécurité informatique :

« Il y a certes un grand potentiel de dérapage, mais il n’y a pas tant de gens que ça : le choix d’aller du bon ou du mauvais côté de la barrière se fait assez tôt. C’est une question d’éthique personnelle. »

Aux Etats-Unis, dans les années 2000, plusieurs arrestations ont eu lieu dans la foulée de conférences spécialisées. En France, certains vétérans de la sécurité informatique racontent parfois comment les défunts Renseignements généraux ou Direction de la surveillance du territoire les ont approchés, plus ou moins frontalement, au début de leur carrière. C’est même la DST qui aurait été derrière la création, au début des années 1990, de l’équivalent français du Chaos Computer Club, célèbre groupe de hackeurs allemands. Un bon moyen de s’assurer visibilité et contrôle sur le milieu hackeur hexagonal.

Une relation plus apaisée

Mais aujourd’hui, la relation est beaucoup plus apaisée : d’abord les spécialistes en sécurité informatique peuplent désormais les services de police et de renseignement et cohabitent avec les autres membres de ce qui est devenu une industrie. Ce secteur s’est justement professionnalisé : la sécurité informatique n’est plus un domaine obscur mais un secteur économique florissant, peuplé par des centaines d’entreprises, devenu incontournable pour les entreprises et les Etats.

« La situation légale des hackeurs me semble être moins périlleuse qu’avant »

Ainsi, la séparation entre les « black hat », le terme qui désigne les hackers hostiles, et « white hat », leurs homologues bienveillants, est plus facile à établir. L’aspect purement hackeur – « je vais voir jusqu’où je peux aller » – tend même à se raréfier, explique M. Raynal : « Il y a de moins en moins de gens qui ont cette approche car ça s’est professionnalisé. » Certaines entreprises encouragent même des experts extérieurs à tester la résistance de leurs défenses informatiques par le biais de « bug bounties », des récompenses financières attribuées à qui trouvera une faille ou une vulnérabilité.

Le droit a aussi évolué. En France, la loi pour une République numérique prévoit depuis la fin 2016 la possibilité à qui détecterait une faille sur un site Internet français de le signaler à l’agence chargée de la protection numérique de l’Etat (l’Anssi), qui ne sera plus tenue par l’obligation légale pesant sur les agents publics de dénoncer une infraction. Aux Etats-Unis aussi, les choses ont changé. « La situation légale des hackeurs me semble être moins périlleuse qu’avant. Je me souviens que des arrestations pour ce que nous considérons être de la recherche de base survenaient pratiquement à chaque événement [de sécurité informatique] », s’est remémoré Matt Blaze, éminent professeur d’informatique américain, sur Twitter.

Lire : Signaler les failles informatiques sera bientôt plus facile et moins risqué

Des questions demeurent

Mais l’arrestation de Marcus Hutchins, en ravivant les angoisses d’un certain milieu, rappelle que toutes les inquiétudes n’ont pas été levées. Aux Etats-Unis, les textes de loi concernant les piratages informatiques sont régulièrement critiqués pour leurs sentences démesurées ou leur périmètre d’application très large. M. Hutchins lui-même ironisait à ce sujet, il y a quelques semaines sur Twitter.

Même les dernières évolutions du droit français ne satisfont pas totalement les experts. Dans le cas d’une faille signalée à l’Anssi, rien n’empêche le responsable du site concerné de déposer plainte contre le hackeur de bonne volonté. « On pourrait regretter que le législateur n’ait pas été plus loin, en inscrivant dans la loi une dispense de poursuites », explique Olivier Iteanu, avocat spécialiste en cybercriminalité. « La nouvelle loi n’offr[e] in fine aucune garantie absolue à celui qui trouve et signale une faille », abondait un groupe d’experts regroupant juristes, professionnels du secteur et force de l’ordre dans un rapport publié en janvier.

Plus largement, le texte qui constitue le socle du cadre juridique français concernant la cybercriminalité a conservé un flou qui peut faciliter les poursuites un peu trop zélées. La loi permet par exemple de posséder ou de publier des informations sur des failles de sécurité ou des outils permettant de casser certaines défenses informatiques s’il existe un « motif légitime, notamment de recherche ou de sécurité informatique ». Mais cette notion, dont les contours ne sont pas fixés par la loi, est laissée à l’appréciation du juge. « La protection est insuffisante car les choses ne sont pas claires », malgré un arrêt de la Cour de cassation en 2009, résume Me Iteanu.

Comment attribuer la paternité d’un code ?

Une des accusations qui pèse sur Marcus Hutchins illustre bien cette précarité que ressentent certains développeurs. Le ministère de la justice l’accuse d’avoir développé lui-même le logiciel malveillant Kronos. En l’absence de preuves fournies à ce stade, les experts sont très sceptiques : comment s’assurer de la paternité de lignes de code, dans un domaine où de nombreux programmes malveillants intègrent des morceaux de code créés à l’origine dans un but inoffensif ? Cette hypothèse, dans le cas de M. Hutchins, fait s’insurger l’avocat américain spécialisé Tor Ekeland, cité par Forbes : « C’est comme dire que le fabriquant d’une arme à feu est responsable d’un braquage ou d’un meurtre commis [avec cette arme]. »

Qu’est-ce qui relève de la recherche honnête et où commence l’attaque en règle ?

En 2009, le développeur d’un outil utilisé par un tiers dans un piratage avait écopé, aux Etats-Unis, de deux ans de prison. Un cas de figure qui n’effraie pourtant par Benjamin Delpy. Ce Français développe Mimikatz, un outil très utilisé destiné aux responsables de sécurité informatique, mais qui est parfois utilisé dans des programmes malveillants comme récemment par le logiciel Petya. « Le fait que j’affiche qui je suis, ce que je fais, et pourquoi je le fais a fortement contribué à ne pas m’attirer d’ennui. S’il doit y avoir des remarques ou des questions, j’y suis totalement ouvert », explique-t-il.

Même les programmes de « bug bounty » n’ont pas levé toutes les interrogations sur les risques encourus par les hackeurs : qu’est-ce qui relève de la recherche honnête et où commence l’attaque en règle ? « Difficile de savoir jusqu’où on peut aller » sans risquer des représailles de l’entreprise, explique Frédéric Raynal.

Marcus Hutchins doit paraître devant un tribunal lundi 14 août. Son audition sera scrutée par les experts du monde entier. A-t-il dissimulé une partie sombre de son passé ou bien la justice américaine a-t-elle fait preuve d’un zèle inhabituel ? La réponse à cette question aura sans doute des conséquences sur ce que les chercheurs en sécurité de par le monde se sentent autorisés à faire. Sur le site Technative, le professeur de l’université de Birmingham résume le sentiment général :

« Le hacking éthique et la recherche de bugs sont nécessaires pour la sécurité de tous. Si on commence à lancer des procédures contre les chercheurs, c’est un jour sombre pour l’industrie [de la cybersécurité]. »