La pratique du hack back peut se traduire littéralement par « un retour d’attaque informatique ». En d’autres termes, lorsqu’une entité publique ou privée, ou qu’un particulier attaque informatiquement une personne physique ou morale, et que celle-ci riposte, on parle alors de hack back. C’est une vengeance privée numérique, une contre-attaque, une forme de justice sauvage.
Quels enjeux juridiques ?
Faire sa propre justice en France est interdit. En effet, seules les forces de l’ordre et la Justice disposent du monopole de la violence légitime. De plus, la légitime défense ne semble pas pouvoir être caractérisée comme cause d’irresponsabilité dans ce genre de situation pour un particulier. L’article 122-5 du code pénal dispose que l’action de défense n’est pas pénalement répréhensible « lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction ». De plus, nul ne saurait s’immiscer dans le système d’information d’autrui sans l’accord de ce dernier, comme précisé dans les atteintes aux Systèmes de Traitement Automatisé de Données (S.T.A.D.), sanctionnées par les articles L.323-1 et suivants du Code pénal.
Cette pratique est réservée à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). .
En ce sens, l’article 34 de la loi n°2018-607, relative à la programmation militaire pour les années 2019 à 2025, précise « la mise en œuvre de dispositifs de détection, lors d’événements susceptibles d’affecter la sécurité des systèmes d’information de l’Etat, des autorités publiques et d’opérateurs publics et privés, ainsi que le recueil d’informations techniques relatives à ces incidents, et l’accompagnement pour y répondre ».
Qu’en est-il à l’étranger ?
En mars 2023, le gouvernement américain a rendu public un rapport à propos de la stratégie de cybersécurité dit National Cybersecurity Strategy. Celle-ci approuve d’un côté les réglementations obligatoires sur les fournisseurs d’infrastructures technologiques critiques, comme les services d’hébergement cloud ou de messagerie électronique basée aux Etats Unis (voir 1.4.1), pour assister les forces de l’ordre dans leur investigations. En étroite collaboration avec les agences américaines concernées, les entreprises privées seront considérées comme des « partenaires à part entière » pour émettre des alertes en amont et aider à repousser les cyberattaques. Le plan autorise une dynamique de « hack-back » plus agressive pour contrer les cyber attaquants, et plus précisément les attaques au rançongiciel. Selon le premier rapport, l’administration Biden a pour objectif « d’uniformiser les règles du jeu », et le document revendique un transfert radical de responsabilité « sur les entités qui ne prennent pas de précautions raisonnables pour sécuriser leurs logiciels ». La responsabilité de ce travail revient au National Cyber Investigative Joint Task Force du Federal Bureau of Investigation (FBI).
La réalité du terrain
Bien que la pratique de la contre-attaque informatique soit illégale, il n’en demeure pas moins qu’elle est largement utilisée dans le monde par les puissances étatiques, de manière officieuse et plus ou moins discrète. En effet, l’espionnage et la déstabilisation des puissances étrangères se révèlent être plus faciles et moins ostentatoires aux yeux du monde, avantageuses pour dissimuler les tensions au nom de la paix internationale. Cependant, de telles attaques peuvent parfois ébranler un pays entier, comme en juin 2017, lorsque NotPetya a compromis les systèmes d’information de centaines d’entreprises et d’entités gouvernementales à travers le monde, parmi lesquels des cabinets d’avocats, une cible particulièrement stratégique.
La France reconnaît malgré tout les cyberattaques majeures comme une agression armée au sens de l’article 51 de la Charte des Nations unies. Cela induit en définitive un droit de légitime défense selon le droit international public et rend possible la reconnaissance d’une cyberattaque comme acte de guerre et donc à l’application du droit des conflits armés.
Concrètement, l’article 5 du traité de l’Atlantique Nord (TAN) détaille une clause d’assistance mutuelle des nations alliées en cas d’agression armée contre l’une d’elle. Concernant l’offensive, suite au sommet de Newport en 2014, il semble que les trente États membres s’accordent à voir une cyberattaque contre l’un d’entre eux comme entraînant la possibilité d’invoquer l’article 5 du TAN. En théorie, pour stopper l’agression, il faudrait une riposte immédiate dans le cyberespace, ce qui peut se révéler délicat étant donné la difficulté de traçabilité et donc d’association entre un Etat et une attaque.
En conclusion, la pratique du hack back a vocation à être utilisée par les Etats pour assurer une défense active de la sécurité des systèmes d’information, mais se révèle être délicate en pratique étant donné les enjeux géopolitiques associés aux agressions dans le cyberespace. Très peu d’ attaques informatiques provenant d’un pays étranger ont été publiquement attribuées à une entité étatique pour des raisons techniques, politiques et diplomatiques. Mais la défense des intérêts de la France passe notamment par sa capacité de réaction vis-à-vis des offensives informatiques. En ce sens, le législateur a-t-il intérêt à légiférer pour encadrer les actions défensives des agents habilités en cas d’attaque ? Avoir une marche à suivre encadrant les actions possibles pour contre attaquer ? Ou bien le statut quo est-il préférable pour laisser une marge de manœuvre plus large aux cyber défenseurs, et éviter des confrontations publiques en continuant une guerre (ou une situation s’y approchant) silencieuse et opaque ?
Jeanne GAUTHIER
M2 Cyberjustice – promotion 2022/2023
Sources :
Agence nationale de la sécurité des systèmes d’information
Article 323-1 – Code pénal – Légifrance.
https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-004.pdf