Pour la loi suisse, le piratage éthique peut être licite
Toute personne qui pirate l'infrastructure IT d'autrui sans le consentement de l'exploitant est en principe punissable. Seule exception, l'état de nécessité licite. Le NTC explique dans un avis de droit qu'il a mandaté quand il est possible de faire valoir cet état de fait et quand le public devrait être informé.
A première vue, le cas semble clair : «En droit suisse, la détection de failles de sécurité sans mandat explicite et sans consentement est punissable dès lors que l’on franchit la protection d’accès d’un système tiers ou que l’on tente de le faire». C'est ce qu'écrit l'Institut national de test pour la cybersécurité (NTC). Il a chargé le cabinet d'avocats Walder Wyss d'étudier les bases juridiques du piratage éthique. L'avis juridique qui en résulte (voir le résumé en PDF) vient d'être publié.
Selon le document, la situation n'est pas aussi claire qu'il n'y paraît. Dans certaines conditions générales, le piratage éthique peut en effet ne pas être punissable, écrit le NTC, qui explique: «Si des dispositions pénales sont enfreintes dans le cadre d’analyses de vulnérabilité, il est possible, dans certaines circonstances, d’invoquer l’état de nécessité licite au sens de l’art. 17 CP (Code pénal)». Cet article stipule qu'une personne agit de manière légitime lorsqu'elle «commet un acte punissable pour préserver d’un danger imminent et impossible à détourner autrement un bien juridique lui appartenant ou appartenant à un tiers agit de manière licite s’il sauvegarde ainsi des intérêts prépondérants».
L'intrusion dans un système n'est justifiée que s’il existe des indices concrets laissant penser que le système est touché par des failles de sécurité potentielles, précise le NTC dans son communiqué. En outre, la détection, la documentation et l'information sur ces failles de sécurité doivent avoir pour but d'empêcher des accès malveillants. «Lorsqu’un hacker poursuit d’autres buts (p. ex. l’autopromotion, la curiosité, voire l’obtention d’avantages économiques), il ne pourra pas se prévaloir du motif justificatif de l’état de nécessité», peut-on lire dans le résumé de l'avis.
Le NTC aborde également la question de la publication des analyses de vulnérabilité. Selon l’avis de droit, les failles de sécurité identifiées et documentées devraient être entièrement corrigées avant toute publication détaillée. Si tel n’est pas le cas, le degré de détail d’une publication devrait être réduit aux informations nécessaires. Ce qui permet d’avertir les utilisateurs de manière appropriée et de leur donner la possibilité de se protéger.