En cybersécurité, le concept de « hack back » émerge comme une approche controversée pour contrer les attaques informatiques. Cet anglicisme, définissant la pratique de riposte à une attaque cyber par une contre-attaque cyber, suscite des interrogations éthiques, juridiques et opérationnelles au sein de la communauté cyber.
Le hack back implique que les organisations ou les individus ciblés par des cyberattaques répondent en pénétrant les systèmes d’information des acteurs malveillants pour récupérer des données volées, perturber leurs opérations, ou même les neutraliser complètement. Cette stratégie peut sembler attrayante pour ceux qui cherchent à se défendre activement contre les cybercriminels et à protéger leurs actifs numériques, toutefois, il s’agirait d’en mesurer les conséquences.
Les défis éthiques et juridiques
La pratique du hack back soulève des préoccupations éthiques et légales importantes. Tout d’abord, ces actions peuvent entraîner des conséquences imprévues, y compris des dommages collatéraux à des tiers innocents et des représailles potentielles de la part des attaquants. De plus, il peut être difficile de garantir que les attaquants ciblés sont responsables de l’attaque initiale, ce qui peut conduire à des erreurs d’attribution et à des actions injustes.
Sur le plan juridique, le hack back est généralement considéré comme une activité illégale dans la plupart des juridictions. Les lois sur la cybercriminalité interdisent l’accès non autorisé aux systèmes informatiques, même en réponse à une attaque. Par conséquent, ceux qui choisissent de recourir au hack back risquent des poursuites judiciaires et des sanctions pénales.
Dans la réalité, les approches en matière de hack back varient considérablement d’un pays ou d’une région à l’autre.
En Europe, la législation sur le hack back est généralement restrictive, avec des lois interdisant la contre-offensive. Les pays européens privilégient des approches de collaboration internationale et de coordination entre les secteurs public et privé pour lutter contre la cybercriminalité.
En France, plus particulièrement, la législation proscrit le hack back. L’article 323-1 du Code pénal français interdit l’accès frauduleux à un système de traitement automatisé de données. Le hack back pourrait donc être considéré comme une violation de cette loi, exposant les acteurs à des poursuites pénales et à des sanctions. Seules les forces de l’ordre peuvent légalement infiltrer un système informatique sans le consentement de son propriétaire et sous certaines conditions généralement assorties d’un cadre réglementaire rigoureux.
Aux États-Unis, en revanche, le sujet est plus débattu. La compromission du réseau SolarWinds Orion en décembre 2020, l’attaque contre Microsoft Exchange Server en janvier 2021 et l’exposition régulière de la société à des vulnérabilités ont encore un peu plus crispé les débats. Plusieurs propositions législatives ont été faites telles que le « Active Cyber Defense Certainty Act » (ACDC) qui a été présenté au Congrès dès 2017 puis en mars 2023 avec la publication d’un rapport de l’administration Biden qui s’intitule National Cybersecurity Strategy. Ces projets de loi visent à autoriser les entreprises, en collaboration avec les autorités américaines, à mener des actions proactives pour se défendre contre les cyberattaques. Bien que certains défenseurs de la sécurité informatique plaident en faveur de l’autonomie des entreprises pour se défendre activement contre les cyberattaques, d’autres soulignent les risques de représailles, les implications juridiques complexes et la peur d’un cyberespace sans règle ou chacun ferait sa propre justice.
En Asie et dans d’autres régions du monde, les politiques en matière de hack back sont également diverses. Certains pays adoptent des mesures plus agressives pour contrer les attaques informatiques, tandis que d’autres préfèrent des approches plus diplomatiques et coopératives.
Les risques opérationnels
Outre les défis éthiques et juridiques, le hack back comporte des risques opérationnels significatifs. Les attaquants peuvent masquer leurs véritables identités et leurs emplacements géographiques, ce qui rend difficile la détermination des cibles et la planification d’une réponse appropriée. De plus, les actifs numériques des organisations peuvent être vulnérables à de nouvelles attaques pendant qu’elles se concentrent sur le hack back, compromettant davantage leur sécurité.
Des alternatives à considérer
Plutôt que de recourir au hack back, de nombreuses organisations privilégient des approches défensives telles que la surveillance proactive des réseaux, la détection des menaces en temps réel et la mise en place de mesures de sécurité robustes pour prévenir les attaques. De plus, la collaboration avec les forces de l’ordre et les organismes de sécurité peut aider à identifier et à neutraliser les attaquants tout en respectant le cadre des lois et des normes éthiques.
Pour conclure, le hack back représente un défi complexe. Il offre à la fois des possibilités de riposte aux attaques et des risques considérables en termes éthiques, juridiques et opérationnels. Alors que certains défenseurs de la sécurité informatique prônent l’adoption du hack back comme outil de défense, d’autres soulignent les dangers et les limites de cette approche. Dans un monde numérique de plus en plus interconnecté, il est essentiel de trouver un équilibre entre la protection des actifs numériques et le respect des principes éthiques et juridiques.
Timothée Veiras
Analyst Expert – Cybersécurité
Votre avis nous intéresse !
Vous souhaitez en discuter ou approfondir ce sujet, n’hésitez pas à contacter nos analystes !
Vous souhaitez être référencé au sein de notre expertise
« Cybersécurité » ? Prenez contact avec notre expert !
________________________
INFO : Les données présentées ci-dessus sont issus de l’expertise « Cybersécurité » de Markess by Exægis.
Accessible depuis notre HUB Markess, ce programme de recherche délivre en continu des données sur les potentiels des différents segments de marché avec une analyse sectorielle ou par métiers, les attentes et besoins des décideurs, l’environnement concurrentiel, les tendances et opportunités à 2 ans.
Markess by Exaegis se spécialise sur la recherche et l’analyse des marchés français du numérique et met à disposition des estimations qui reposent sur des données locales. Elles sont collectées chaque année lors des interviews auprès des prestataires et des entreprises (plus de 5000 décideurs chaque année), des données macro–économiques et celles provenant de sources tierces dans le but d’apporter des éclaircissements dans votre processus de prises de décision.
A partir de nos différents programmes de recherche, notre équipe d’analystes peut également personnaliser et prendre en compte vos besoin de données dans le format et le type de données que vous recherchez. Nous accompagnons les directions métiers, les éditeurs de logiciels et ESN dans leur stratégie de développement.
Pour en savoir plus, contactez :
Juliette Courty-Garnier – 02 46 99 17 31 – juliette.courty-garnier@markess.com