Le livre Hacker Ethique et cybersécurité, opportunités et défis, coécrit par Myriam Quéméner, magistrat honoraire, docteur en droit, et Amélie Köcke, consultante en criminalité financière chez EY, aborde les méthodes, les objectifs et les défis des hackers blancs et des hackers noirs. Les premiers cherchent à détecter des failles de sécurité Internet, les seconds à les exploiter pour dérober des identifiants et d’autres données sensibles.
Votre parcours chemine-t-il au croisement du droit et de la cybercriminalité ?
Myriam Quéméner : En tant que magistrate judiciaire, j’ai occupé différentes fonctions au siège de la magistrature et au parquet. Intéressée à Internet, au droit du numérique puis à la cybersécurité, j’ai mené des expertises pour le conseil de l’Europe. La thèse que j’ai soutenue sur la criminalité économique et financière à l’ère numérique a été publiée en 2015. J’ai aussi été DPO d’une agence de santé et détachée au Ministère de l’Intérieur sur les cybermenaces.
Pirate informatique ou hacker éthique, quel est le bon titre à employer ?
Myriam Quéméner : Une clarification des termes est nécessaire. Pour désigner l’auteur d’attaques illicites, le bon terme est cracker. Le hacker éthique s’assimile plus à un lanceur d’alertes en sécurité. Plusieurs métiers se cachent derrière ce titre en fait. Le hunter ou le chercheur de failles est un salarié ou un indépendant qui travaille au service d’un expert judiciaire ou d’une plateforme de bug bounty. Le hacker est un terme accrocheur, parfois utilisé à des fins marketing, mais qui peut faire un peu peur aux clients de ces plateformes.
Quel a été le point de départ de votre ouvrage « Hacker Ethique et cybersécurité » ?
Myriam Quéméner : Ce livre est né de ma rencontre avec Amélie Köcke, l’une de mes étudiantes à Paris 1, dont le mémoire de Master 2 portait sur le régime juridique des hackers. Notre ouvrage est fondé sur l’étude des textes, l’analyse de jurisprudences, sur une recherche internationale et sur les résultats d’un questionnaire mené auprès de hackers et de plateformes de bug bounty. Nous y abordons des exemples très concrets.
Percevez-vous une forme de crime organisé ?
Myriam Quéméner : Une délinquance organisée se développe à l’international. Son objectif est de faire de l’argent ou de blanchir un trafic, de stupéfiants par exemple. Les mafias et groupes criminels recrutent des informaticiens, souvent dans les pays de l’ancien bloc soviétique. D’où l’intérêt d’analyser les transactions pour détecter des flux illicites.
Les recherches OSINT font-elles partie de l’arsenal du hacker éthique ?
Myriam Quéméner : Toutes les innovations numériques sont utilisées dans les deux sens, à des fins licites ou non. C’est le cas des outils de recherche en source ouverte, et de l’IA qui peut être exploitée par un délinquant comme par un hacker éthique. On constate ainsi une recrudescence des fraudes au président, avec l’imitation des voix et les fausses vidéo ; c’est la problématique des deep fakes.
En termes d’usages des IA, sommes-nous toujours au stade du far-west ?
Myriam Quéméner : Les débuts de l’IA remontent aux années 1950, mais les usages se démocratisent à présent. L’IA Act apporte une première réglementation face aux nombreux cas d’usages. Pour alimenter ses analyses, l’IA se nourrit de données très convoitées. Le hacker éthique est recruté par contrat, pour détecter les failles et prévenir les organisations de tous les secteurs. Dans la santé, 230 hôpitaux ont été attaqués en 2023, par exemple. D’où la création du programme européen Care pour renforcer la sécurité des établissements de santé.
Des attaquants prétendent-ils agir en hackers éthiques ?
Myriam Quéméner : Oui. En audience, j’ai déjà entendu l’argument : « j’ai fait cette action en toute bonne foi, pour l’ANSSI, la DGSE ou même l’Elysée. » C’est un argument de défense pour éviter des poursuites mais il peut être rapidement contredit. Les personnes qui installent un dispositif facilitant une cyberattaque ou permettant le maintien frauduleux dans un système d’informations se mettent en infraction. Elles n’ont pas toutes un intérêt légitime.
Que faire en cas de doute sur la probité d’un hacker éthique ?
Myriam Quéméner : Il existe un article du Code de la Défense qui prévoit une procédure de signalement auprès de l’ANSSI, l’agence nationale appréciant si le hacker est de bonne foi ou non. L’activité est devenue un business avec ses plateformes et ses entreprises clientes.
Les porteurs de conflits internationaux abusent-ils de la situation ?
Myriam Quéméner : La guerre numérique, à base de drones ou d’outils de communication piégés, se nourrit de renseignements. C’est la nouvelle dimension des conflits. Mais la cybersécurité a aussi des aspects positifs. Les affaires qui aboutissent sont souvent celles où la coopération internationale fonctionne bien. Il existe des personnes compétentes qui œuvrent pour le bien commun ; de jeunes hackers éthiques mettent ainsi à profit, pour la bonne cause, les outils des attaquants.
📆 Les 19-20 mars à Paris Expo, Myriam Quéméner interviendra lors de deux sessions à découvrir sur le site du Forum des solutions Cybersécurité Cloud.IA
