Dossiers
Chroniques
Guides et carnets
Évènements
Podcast
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Dossiers
Chroniques
Guides et carnets
Certains chercheurs se sont fait une spécialité de dénicher les vulnérabilités présentes dans les systèmes informatiques et exploitables par des acteurs malveillants. Rien n’oblige pourtant les éditeurs à les corriger. Et rien ne protège les chercheurs contre les menaces des entreprises. Un manque de régulation risqué pour la sécurité de certaines données.
Par milliers, les vulnérabilités des systèmes informatiques sont des portes d’entrée privilégiées par les hackers. Trend Micro, entreprise spécialisée en logiciels de sécurité, en a décelé plus de 37 000 rien que sur l’année 2023 dans le monde. Parfois connues, ces vulnérabilités ne sont pas toutes corrigées, car les éditeurs sont peu contraints par les États. Jérôme Barbier, responsable des questions spatiales, numériques et économiques pour le Forum de Paris sur la Paix, déplore le manque de normes internationales concernant les obligations de correction des vulnérabilités.
Des failles utiles aux États
“L’espionnage n’est pas illégal en droit international”, indique-t-il durant cette table ronde, fin 2023, en amont du FIC (Forum InCyber), qui se déroulera du 26 au 28 mars à Lille. Ces vulnérabilités peuvent être utilisées à des fins politiques. Selon lui, cela participe du manque de régulations internationales. Chaque État a ses propres règles. “En France, le cadre juridique est assez flou”, estime Noémie Véron, maître de conférences en droit public à l’Université de Lille. Ainsi, dans l’Hexagone, on ne légifère pas tant sur les moyens d’obtenir de la donnée que sur la catégorie de donnée captée. “La captation de données informatiques sert de fondement pour permettre aux services de police d’exploiter des vulnérabilités avec leurs propres ressources ou à travers des sociétés privées”, assure Noémie Véron.
L’affaire Pegasus, révélée en 2021, du nom de ce logiciel espion israélien, utilisé par une dizaine d’États pour obtenir des informations sur des personnalités, est un exemple de l’utilisation des vulnérabilités à des fins politiques. Contrairement à d’autres pays d’Europe comme la Pologne, la France n’en a pas fait partie. “Ce sont des sujets éminemment sensibles pour les libertés individuelles”, juge Guilhem Guiraud. Cet ancien membre de la DST (Direction de la Surveillance du Territoire), aujourd’hui Direction centrale du Renseignement Intérieur, a fondé une société capable de fournir aux États des moyens éthiques de captation de données informatiques.
Inciter sans contraindre, une évidente limite
“L’État refuse de demander aux plateformes de mettre à disposition leurs données”, note-t-il, “ainsi la solution par défaut est d’exploiter les vulnérabilités pour introduire les outils informatiques des cibles”. L’idée d’un organisme européen qui pourrait gérer la vulnérabilité est actuellement débattue. “Il y a une timide ouverture d’interactions au sein de l’UE sur ce sujet. Les États ont leurs failles, mais se cachent toujours derrière la sécurité nationale pour éviter de collaborer”, dénonce Guilhem Guiraud. Noémie Véron alerte cependant sur certaines méthodes non-éthiques avec une tentation pour les autorités d’obtenir des informations sur d’autres personnes que la cible. “C’est une atteinte par ricochet”, estime-t-elle.
Sur le plan international, des organisations produisent des normes non-contraignantes pour inciter les États à légiférer. C’est le cas de l’OCDE (Organisation de coopération et de développement économiques). Mais durant ses travaux, l’organisation s’est confrontée à une réalité qu’elle n’imaginait pas. “Nous pensions que cela serait facile, mais dans la réalité, les acteurs qui découvrent des vulnérabilités et qui les signalent sont souvent mal reçus, parfois même menacés de poursuites”, assure Laurent Bernard, analyste pour l’OCDE.
Chercheurs esseulés
Ces vulnérabilités sont parfois découvertes par des chercheurs éthiques qui les signalent ensuite aux éditeurs. “Il faut les encourager en les protégeant”, suggère-t-il. Tous les pays n’adoptent pas des politiques semblables vis-à-vis de ces chercheurs. Jérôme Barbier, du Forum de Paris sur la Paix, dénonce une attitude paradoxale des Européens : “Nous évoquons souvent le besoin de réguler le numérique à un niveau bien plus élevé que les États-Unis, mais nous protégeons bien moins les chercheurs de vulnérabilités qu’outre-Atlantique. On peut avoir des principes qui protègent ces personnes tout en conservant de la sécurité”.
Ces chercheurs sont motivés par la protection les libertés individuelles contre de potentielles failles exploitables par des hackers ou des États. Lorsqu’ils trouvent des vulnérabilités, ils les indiquent aux entreprises, et parfois menacent de rendre la chose publique lorsque l’éditeur traîne ou refuse de les corriger. “Les chercheurs ont besoin de cet outil qu’est la divulgation publique pour inciter les acteurs à agir”, indique Laurent Bernat, analyste au sein de l’OCDE. En retour, les menaces de poursuites en justice sont fréquentes, mais le passage à l’acte est plus rare. Une démarche qui pourrait paradoxalement servir la cause des chercheurs de vulnérabilités.
“On aimerait que les entreprises portent plainte”, assure Jérôme Barbier, responsable des questions spatiales, numériques et économiques pour le Forum de Paris sur la Paix, “cela permettrait peut-être qu’une jurisprudence soit établie. Et cela permettrait de lancer un réel débat public”. Car une exception existe dans l’Hexagone qui protège les chercheurs scientifiques, mais pas encore les chercheurs de vulnérabilités.
