avril 2011

La légitime défense numérique – Le Cercle

Le Cercle européen de la sécurité des systèmes d’information organisait jeudi 28 avril 2011 à 18 heures une table ronde sur le thème de la légitime défense numérique.

Le débat était animé par Yann Le Bel de la SNCF, et rassemblait Guillaume Tissier de CEIS et Philippe Langlois de P1Sec.

Guillaume Tissier a d’abord résumé le contexte actuel des attaques contre les systèmes d’information, de la cybercriminalité et de la cybersécurité en général, en soulignant les risques particuliers auxquels sont confrontées aujourd’hui notamment les entreprises. Ensuite il a rappelé le cadre juridique de la légitime défense.

Sur le plan pénal, le concept de légitime défense est défini comme une exception, au travers d’une cause d’irresponsabilité. Ainsi dans l’article 122-5 du code pénal il est indiqué:

N’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte.

N’est pas pénalement responsable la personne qui, pour interrompre l’exécution d’un crime ou d’un délit contre un bien, accomplit un acte de défense, autre qu’un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction.

Ainsi, s’agissant dans le domaine de la sécurité sur les réseaux (et en particulier Internet), c’est le plus souvent le second alinéa qui est concerné. Et le but de la légitime défense des biens ainsi défini est limité à l’accomplissement d’un acte de défense, en vue d’interrompre l’exécution du crime ou du délit contre ce bien. Je suis intervenu à la fin du débat pour rappeler que dans tous les cas imaginables aujourd’hui, la véritable légitime défense sur Internet est difficilement applicable puisqu’on pourra soit prendre des mesures pour se protéger qui ne constitueraient pas des infractions (détourner le trafic qui vous attaque par exemple) ou tout simplement déconnecter le système (comme l’a fait Sony la semaine passée), faisant ainsi cesser l’atteinte.

Dans un contexte international, la charte des Nations Unies, à son article 51, a encore rappelé Guillaume Tissier, énonce le principe suivant:

Aucune disposition de la présente Charte ne porte atteinte au droit naturel de légitime défense, individuelle ou collective, dans le cas où un Membre des Nations Unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires pour maintenir la paix et la sécurité internationales. Les mesures prises par des Membres dans l’exercice de ce droit de légitime défense sont immédiatement portées à la connaissance du Conseil de sécurité et n’affectent en rien le pouvoir et le devoir qu’a le Conseil, en vertu de la présente Charte, d’agir à tout moment de la manière qu’il juge nécessaire pour maintenir ou rétablir la paix et la sécurité internationales.

Il s’agit bien ici d’offrir la possibilité aux Etats de répondre légitimement à une agression armée. Il sera tout de même très difficile pour l’instant de qualifier d’attaque armée une atteinte numérique, sauf si elle est de nature à porter atteinte de façon grave à la sécurité des personnes et des biens ou à l’intégrité d’un territoire.

Guillaume Tissier a aussi dressé une liste des types de réponse qu’il était possible d’envisager, en soulignant qu’il n’était pas nécessaire de toujours envisager d’aller jusqu’à des actes agressifs, mais qu’il était possible par exemple d’envisager des mesures judiciaires adaptées – y compris de nature à faire complètement cesser l’activité d’un attaquant grâce à la saisie de ses matériels ou l’interruption des services qui lui permettre de commettre ses attaques, ou des mesures de collecte de preuve, pour faciliter l’identification des auteurs de ces faits.

Philippe Langlois quant à lui a cité un certain nombre de cas concrets d’acte de rétorsion numérique suite à ce qui peut être considéré comme une attaque. Le cas de la société HBGary qui s’est vu sérieusement mise en défaut dans la gestion de sa propre sécurité, après s’en être prise aux Anonymous publiquement est un de ces cas. On pourrait aussi citer le cas récent du réseau des Playstation de Sony (voir l’article le plus récent de Numérama), dont l’agression pourrait être une réponse de certains groupes d’attaquants à l’attitude de cette société face à un chercheur indépendant (George Holtz) qui a mis à mal la sécurité de sa console la plus récente (voir l’article de 01Net). Philippe a aussi souligné le risque d’une véritable escalade des réponses entre les belligérants, comme l’un des risques principaux d’une riposte numérique suite à une agression.

Philippe a aussi indiqué, que techniquement il était évidemment possible dans beaucoup de situations – et dans l’esprit de la gamme de réponses possible évoquée par Guillaume Tissier, de prendre des mesures non agressives vis à vis de l’attaquant, en temps réel, de manière à plus facilement l’identifier, grâce à la prise d’une empreinte de l’attaque ou en se connectant simplement avec l’hôte à l’origine de l’attaque si le protocole utilisé le permet.

Enfin, comme l’a rappelé Lazaro Pejsachowicz dans la salle, il n’est pas acceptable d’envisager la légitime défense sous la forme d’une vengeance, il est absolument nécessaire de rapidement impliquer les autorités judiciaires suite à une attaque pour que la collecte de preuves s’exerce dans de bonnes conditions et que l’action légale soit efficace et rapide.

L’autre sujet qui n’a pas été abordé – il me semble – dans le débat, est le recours à une réponse numérique suite à une agression physique. Cela fait partie très clairement des outils dont pourrait se doter un Etat dans le cadre de sa légitime défense au sens de la charte des Nations Unies évoquée plus haut. Et – pourquoi pas – cela pourrait constituer une hypothèse intéressante dans le cadre de la légitime défense des personnes et des biens contre une agression physique, par exemple en se dotant d’outils pour rendre inopérants les commandes d’un véhicule qui foncerait sur une foule.

Merci au Cercle pour l’organisation de cette soirée qui a continué autour d’un buffet indispensable au réseautage interpersonnel.