Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous parler du hack back.

Le hack back est un terme anglophone qui recouvre un phénomène finalement assez simple, mais aux implications parfois complexes. Cela désigne le fait pour une organisation privée victime d’attaque informatique de répliquer à son tour avec une cyberattaque visant ses agresseurs. Un genre de légitime défense du cyber.

Et si parfois la tentation est grande, la pratique est illégale à peu près partout.

En France, l’Anssi s’est prononcée à plusieurs reprises contre l’idée, au nom du maintien de l’ordre dans le cyberespace. L’agence de cybersécurité française a déjà bien du mal avec les espions et les cybercriminels et ne se réjouit pas à l’idée de voir internet se transformer en Far West numérique.

Seules les forces de l’ordre disposent d’exceptions légales leur permettant de s’infiltrer dans un système d’information à l’insu de son propriétaire. Et ces dispositions sont généralement très encadrées.

La position est à peu près la même en Europe, mais aux Etats-Unis l’approche est un peu plus... nuancée. Les Américains sont moins fermés à l’idée d’autoriser la pratique et deux projets de loi, en 2017 et 2019, visaient à ouvrir la voie à cette possibilité. Pour l’instant, ils n’ont jamais été approuvés et le hack back reste donc illégal.

Et c’est peut-être tant mieux ! De nombreux arguments plaident en défaveur du hack back.

D’une part, l’attribution des attaques informatiques est difficile. On a déjà consacré un épisode du ZD Tech à la question, mais le risque de victimes collatérales d’un hack back mal maîtrisé est grand.

D’autre part, rares sont les entreprises à disposer des capacités techniques permettant d’identifier l’auteur d’une attaque informatique, et plus rares encore sont celles qui seraient en capacité de répliquer face à une attaque.

En face de ça, le bénéfice escompté du hack back reste maigre. On peut éventuellement envisager un hypothétique effet dissuasif pour les attaquants. Il y a peut-être la satisfaction de ne pas être resté passif face à l’agression. Mais c’est à peu près tout.

Il y a pourtant une zone grise. Celle-ci touche à un secteur assez particulier, celui du renseignement sur les menaces. De nombreuses entreprises de cybersécurité se spécialisent aujourd’hui sur la collecte de renseignements concernant les attaquants et leurs pratiques. Et dans certains cas, les chercheurs en sécurité ne se privent pas d’infiltrer les serveurs des cybercriminels afin de récolter des informations.

La pratique n’est pas légale, mais cela arrive de temps en temps : les cybercriminels ne portent pas plainte et les informations ainsi glanées peuvent permettre d’aider les forces de l’ordre à démanteler certains réseaux. Et tant qu’aucune victime collatérale n’est à déplorer, tout le monde laisse faire.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.