A-t-on le droit de hacker son hacker ? C’était, en substance, la question posée hier soir au Cercle Européen de la Sécurité des Systèmes d’Information. Avec pour en débattre Philippe Langlois (P1 Security) et Guillaume Tissier (CEIS), interrogés par Yann Le Bel (Revue Sécurité et Stratégie).

Le sujet a beau être vendeur, la notion de légitime défense sur les réseaux est pourtant vieille comme… les réseaux eux-même ! Dans le monde des télécoms et des liaisons X25, fait ainsi observer Philippe Langlois, toute connexion était bi-directionnelle par nature et permettait donc d’aller renifler l’inconnu qui venait explorer vos systèmes, et plus si affinité.

Mais le contexte du cyber-espace à bien changé explique Guillaume Tissier. Il y a notamment désormais sur le web une asymétrie totale entre l’agresseur et la victime, qui se trouve défavorisée car contrainte d’envisager tous les scénarios d’attaques possibles. La défense passive montre alors ses limites au point qu’il est tentant d’envisager une approche plus offensive : frapper l’agresseur afin de faire cesser l’attaque.

Toutefois la notion de légitime défense, parfaitement encadrée dans le monde réel, se prête mal au monde cyber. Elle doit en effet être simultanée, proportionnée et bien entendu ne viser que l’auteur de l’attaque. Hélas, aucun de ces points n’est garanti dans le monde cyber. L’attribution, on l’a déjà vu, est très difficile. La simultanéité également : si pour l’attaquant l’opération a pu être préparée de longue date (notamment en énumérant les vulnérabilités exploitables chez sa cible et en développant des outils spécifiques), le défenseur devrait lui réagir avec la même force et la même efficacité… mais immédiatement !
Ce qui nous amène à la proportionnalité, elle aussi parfaitement utopique. Est-ce proportionné, par exemple, de neutraliser plusieurs centaines de milliers d’ordinateurs personnels, sur plusieurs continents, parce qu’ils sont impliqués dans une attaque par déni de service contre un serveur web de son entreprise ?

Et puis le régime juridique de la légitime défense diffère selon qu’il s’agit d’une réponse à une attaque contre des biens ou des personnes. Mais dans le cyber, la distinction sera parfois délicate à faire…

Les principes acquis de la légitime ne sont donc pas transposables au monde cyber. Mais il y a plus ennuyeux : contrairement au monde physique, la riposte cyber peut vite devenir hors de contrôle. « C’est un terrain très glissant. Lorsque l’on tente de légitimer la contre-intrusion il n’y a pas de moyen simple pour arrêter la machine. C’est ce qui est arrivé par exemple à la société HB Gary. Il n’est pas possible de prévoir jusqu’où cela va aller« , explique Philippe Langlois.
En effet, contrairement au monde physique où l’attaquant peut être mis physiquement hors d’état de nuire, dans le cyber il peut toujours répliquer ou s’attaquer à d’autres intérêts de la victime, et ainsi de suite.

« Le souci avec la légitime défense, c’est que pour être acceptable elle doit être indispensable pour faire cesser l’attaque. Or dans le cadre d’une attaque informatique il y a toujours moyen de la détourner ou de s’en protéger, sans passer à l’offensive. Je ne vois pas de situation qui pourrait justifier une contre-intrusion« , précise depuis l’assemblée Eric Freyssinet, patron de la division de lutte contre la cybercriminalité pour la Gendarmerie Nationale.

L’affaire semble donc entendue : non seulement la légitime défense numérique est difficilement légale, mais aussi elle peut être dangereuse.

Cependant une fois le débat terminé et les près de quatre cent convives s’adonnant aux libations d’usage, les langues se délient sous le couvert de l’anonymat. « Pour qu’il y ait un problème, il faut qu’il y ait une plainte« , nous confie l’un des invités, sans en dire plus. « Honnêtement, est-ce que un hébergeur bulletproof (qui offre des services aux pirates, ndlr) à l’autre bout du monde va aller porter plainte ?« , ajoute un second. Et pour un troisième, les entreprises françaises ne font évidemment jamais elles-mêmes justice, « mais payer en liquide quelques gars efficaces pour faire tomber un serveur de commande & contrôle gênant, ça s’est déjà vu« , explique-t-il.

La légitime défense deviendrait donc, sur le web, une affaire de pas vu, pas pris…