Aspects juridiques du pentesting

Toute personne ayant déjà pratiqué un test de pénétration sur autrui n’ignore pas qu’il est préférable d’obtenir un consentement préalable, qu’il s’agisse d’une inconnue, d’une amie ou d’un quelconque animal domestique. (Les lecteurs voudront bien adapter le genre et l’espèce à leur préférence)

Durex Sed Lex

Les mêmes causes produisant les mêmes effets, un pentest sans autorisation préalable vous conduira très sûrement devant un Juge, voire pire. Sachez en outre que les hackers sont mal à l’aise en prison et que la blague pourrait bien se terminer selon la morale éculée de l’arroseur arrosé.

Le pentest à l’épreuve du droit

Outre des introductions de mauvais goût, le pentesting soulève de nombreuses questions juridiques, tant sur le plan pénal que civil voire administratif. Pour les profanes chez qui ces mots ne renvoient pas à une définition claire, précise et facilement exprimable, je vais m’efforcer de vulgariser.

La série d’articles s’étalera sur plusieurs semaines et nous permettra de nombreuses digressions applicables dans d’autres métiers de l’informatique, notamment sur les questions de responsabilité contractuelle et d’assurance.

La facilité de lecture y gagnera ce que la rigueur juridique y perdra.

Le plan pénal sera le plus amusant (autant que du droit puisse l’être), mais certainement le moins utile dans la plupart des cas concrets, si l’on en croit les bases de données de jurisprudences récentes. Les condamnations pour « hacking » sont rares (comparées aux lots communs des autres infractions) et, à ma connaissance, un pentest n’a jamais conduit le testeur à comparaître devant un juge pénal.

Cependant, il faut un début à tout alors on n’est jamais trop prudent.

Pentesting et risque pénal

Personne n’ignore que s’introduire sans autorisation dans un système de données est susceptible d’être sanctionné.

Le code pénal le prévoit aux articles 323-1 et suivants, voire 421-1. (A lire ici,  obligatoire pour toute personne prétendant intervenir sur des réseaux en vertu du vieil adage selon lequel nul n’est censé ignorer la loi).

Cependant, pour ceux que la lecture de Legifrance rebute, voilà en un langage que j’espère accessible aux moins hermétiques d’entre vous, un abstract arbitraire, un concentré de la substantifique moelle penale de notre corpus législatif.

Et c’est pourtant avec une citation que je débuterai :

« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45000 euros d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 € d’amende. » (article du 323-1 code pénal)

C’est la base. La pénalisation du hacking trônant dans le code pénal dans une rédaction issue de la loi pour la confiance en l’économie numérique (loi de 2004 mais l’infraction existait déjà auparavant mais était moins lourdement sanctionnée). A venir prochainement, un petit historique des délits informatiques en droit français.

Le Pen test

Pour illustrer l’application de cet article, voir cette décision condamnant un hacker qui avait confondu le pentesting avec le pen testing (legalis.net – excellent site – très droit 2.0).

Comment lui en vouloir, ça se joue à un A0 près.

Le législateur ne s’est d’ailleurs pas arrêté là. Il sanctionne aussi :

« Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75000 euros d’amende. » (Remarquez dès à présent l’absence pernicieuse du frauduleusement) (323-2)

L’introduction de données est également punie, ainsi qu’entre autres la distribution et la possession de logiciels permettant de telles atteintes à des systèmes informatiques. Alors, on supprime vite fait ses virus, rootkits, trojan, softs de scan, ses wireshark et autres joyeusetés, sinon direction le placard. J’exagère mais pas tant. Je détaillerai chaque infraction dans de prochains billets.

Autant vous dire que la tentative de tout cela est punie des mêmes peines. Par contre, les infractions doivent être volontaires.

Lors d’un test d’intrusion, et je ne pense pas être contredit sur ce point par le maître des lieux, il s’agit justement de tenter de s’introduire dans un système pour en vérifier l’herméticité défensive.

La mise en œuvre d’une attaque crédible est susceptible de passer par l’entrave ou le faussage du fonctionnement d’un système de traitement automatisé de données comme un DoS. (Vrai ?)

Oui, me direz-vous, mais le concept du pentesting c’est justement d’avoir au préalable obtenu l’accord du maître dudit système de traitement automatisé. C’est comme les chasseurs, il y a les bons et les mauvais pirates. (On peut légitimement s’interroger sur lequel est le bon et lequel est le mauvais, mais c’est un tout autre débat ; le côté obscur de la force n’est pas toujours celui que l’on croit)

Ces développements nous amènent tout naturellement à la seule question qui vaille : est-ce que l’accord préalable du testé permet d’éviter toutes poursuites pénales ?

Le bon sens dit oui, le droit dit « faut voir ».

A suivre…