L’Europe veut amputer les hackers
Un projet de directive européenne prévoit de pénaliser la possession et la distribution d'outils de hacking pour lutter contre la cybercriminalité. Une disposition aberrante y compris aux yeux de plusieurs communautés d'experts en sécurité informatique.
“Contre-productif”, “stupide”, un “danger pour l’Europe”, les spécialistes de la sécurité informatique interrogés par OWNI ne mâchent pas leurs mots pour décrire le projet de directive européenne qui vise à étendre à toute l’Union européenne ce qui existe déjà en France depuis la Loi pour la confiance dans l’économie numérique (LCEN) de 2004 : la répression du hacking. Qui est à la base un usage créatif des technologies et n’a donc rien d’illégal en soi.
En résumé : “Les cyberattaques sur des systèmes de communication deviendrait une infraction pénale passible d’au moins deux ans de prison. La possession ou la distribution de logiciels et d’outils de hacking serait aussi une infraction pénale, et les entreprises seraient responsables des cyberattaques commises dans leur intérêt.”
Sous couvert d’intentions louables, ce projet de directive présenté par la commission des libertés civiles ressemble fort à une bêtise technocrate dont les origines remontent à plusieurs années.
Ralf Bendrath, conseiller politique de l’eurodéputé Vert Jan Philipp Albrecht, rapporteur fantôme pour la directive, et accessoirement ancien hacker, nous rappelle l’historique :
L’approche générale pour combattre le cybercrime et les attaques contre les systèmes d’information à l’aide de lois pénales et de répression est basée sur la Convention sur le cybercrime de 2001 approuvée par le Conseil de l’Europe, et la nouvelle directive met à jour une ancienne décision de mise en application des ministères de la justice et des affaires intérieures européens de 2005
Épée de Damoclès
Sur certains points importants, le texte est flou, laissant une grande marge d’interprétation au juge. Ralf Bendrath déplore que l’on poursuive une politique aux effets pervers :
Dès le début, nous avons expliqué que si vous pensez avoir le moindre effet sur les mauvais garçons en mettant en place des sanctions et en introduisant quelques circonstance aggravantes dans un code pénal, vous êtes juste naïf.
Dans ce sens, la directive ne fera pas beaucoup la différence. Le danger vient plus des dispositions qui pourraient aussi affecter les “white hackers” (les “gentils hackers”), ceux qui identifient et réparent les failles de sécurité. Nous avons besoin d’eux car ils servent de système immunitaire de la société de l’information, et l’article 7 qui bannit les outils de hacking ou l’article 8 sur l’incitation à certaines attaques pourraient aussi les entraver.
C’est une épée de Damoclès qui est donc suspendue au-dessus des hackers. Eric Filiol, chercheur français spécialisé dans la sécurité informatique, directeur du centre de recherche de l’ESIEA, est tout aussi inquiet :
Cela peut concerner beaucoup de monde, les hackers, les chercheurs, c’est-à-dire ceux qui font vraiment de la sécurité informatique. Cela risque d’être à géométrie variable en fonction des intérêts. Ce texte est liberticide.
L’innovation vient d’en bas
Les opposants au texte redoutent que les intérêts défendus soient surtout ceux des grandes entreprises du secteur soient favorisées, car elles bénéficieraient de dérogations. L’eurodéputé suédoise du Parti Pirate Amelia Andersdotter détaille :
Tant qu’il faut une autorisation pour l’utilisation d’outils, c’est bien sûr très bénéfique pour toutes les entreprises déjà établies dans le domaine de la sécurité – ils ont la capacité administrative d’avoir une autorisation, alors que quelqu’un qui bidouille sur son temps libre ne pourra pas.
Toutefois, Amelia Andersdotter pense que cette proposition ne fait pas non plus totalement les affaires des cadors de la sécurité :
Je pense que le lobby le sait aussi, si les gens ne peuvent plus se livrer à leur passion durant leurs loisirs, les entreprises de sécurité perdront leur base de recrutement.
Philippe Langlois, organisateur du festival Hackito Ergo Sum, qui a réuni la semaine dernière la crème des hackers à Paris, s’inquiète, en particulier sur le frein que cela pose en terme d’innovation :
On risque de construire un nouveau système où les poids lourds de l’armement et de la sécurité ont un droit non écrit d’avoir des outils de sécurité hostiles. Sauf que celui qui innove dans la sécurité, ce n’est pas la grosse entreprise, c’est le petit gosse de 14 berges qui déchire tout, qui n’est pas identifié.
Et de s’interroger sur le rôle de l’ European Network and Information Security Agency (Enisa), l’agence de l’Union européenne dédiée à la cybersécurité, censée encourager les “best practices”. Sollicitée deux fois, elle n’a pas répondu à nos questions.
À quoi sert l’Enisa, ils sont payés pour ça, à réfléchir aux conséquences de leurs actes, pourquoi n’ont-ils pas expliqué pourquoi c’est débile ?
Retard
Le corollaire de ce système à deux vitesses, poursuit Eric Filiol, est que “les hackers vont se réfugier dans l’Internet underground, ils vont utiliser des BBS1, chiffrer leurs communications, cacher leurs découvertes.” Plus encore, le chercheur y voit là le fruit du lobbying américain qui aurait tout intérêt à ce que la loi passe :
Cela va nous faire prendre du retard, alors que nous travaillons déjà beaucoup leurs entreprises américaines, Vupen (société française spécialisée en recherche en vulnérabilités) par exemple, les a déjà pour principaux clients. C’est un danger pour l’Europe. Et cela va inciter les hackers à travailler pour des intérêts contestables, des grosses entreprises commerciales.
En Allemagne, où une loi similaire a été passée en mai 2007, l’effet a été immédiat : dans les mois qui ont suivi, des projets ont été délocalisés ou arrêtés plutôt que de prendre le risque d’encourir des sanctions. Si Ralf Bendrath craint aussi les conséquences néfastes, il n’y voit pas là le fruit du lobbying américain :
Autant que je sache, il n’y a pas eu de pression particulière, car cette directive fait partie d’un ensemble de mises à jour d’un certains nombres de lois de régulation sur les affaires intérieures et le droit pénal, pour lesquelles l’Union européenne a désormais une nouvelle base légale, avec le Traité de Lisbonne.
Contacté par OWNI, EADS a répondu qu’il “ne souhaite pas s’exprimer sur ce sujet pour l’instant car la directive européenne n’est encore qu’un projet”. Le délai était trop court pour Thales et Vupen ne nous a pas répondu.
Hackers de toute l’Europe, bougez-vous
Les Verts s’activent pour infléchir la loi, réussissant à insérer “quelques garde-fous dans la position du Parlement européen” contre les risques de saper le travail des hackers amateurs. Sans toutefois être sûr qu’ils passent toutes les étapes. Les négociations entre la Commission européenne, le Parlement européen et le Conseil des ministres commenceront le 23 avril, avec une session plénière au en juillet prochain. Ralf Bendrath en appelle à la communauté :
“Cela serait d’un grand secours que les experts en sécurité informatique et les hackers des différents pays de l’UE pouvaient parler avec leur eurodéputé et leurs administrations dans les semaines qui viennent pour s’assurer que nous aboutissions au meilleur résultat possible, ce qui dans ce cas, signifie expurger les dispositions les plus stupides et les plus dangereuses du texte final.” Et en la matière, le fameux modèle allemand sert de référence, encore une fois, comme l’explique Eric Filiol :
L’Allemagne agit de manière intelligente, en développant leur communauté de hackers : le Chaos Computer Club a pignon sur rue. Il est sain d’avoir une communauté active.
Illustration et couverture par Christopher Dombres (cc-by) ; illustration par Tsevis (cc-byncnd)
- Bulletin Board System, système d’échange de messages et de fichiers remontant aux années 80. [↩]
Suédoise, Amelia Andersdotter, pas islandaise ;)
Zavez fait un portrait d’elle ya pas si longtemps en plus :p