Il est de plus en plus question du développement de la légitime défense informatique, les récentes attaques le montrent. Sony (SPE = Sony Passoire Extraordinaire ?) se serait lancée dans de telles opérations, et les Anonymous défendraient Charlie en réduisant au silence les sites djihadistes. Bref, la légitime défense informatique a le vent en poupe. Sauf que parler de cette notion est un raisonnement spécieux : qui est trompeur malgré une illusion de vérité (wikipedia), qui a une apparence de vérité et de justice (Académie Française). Voyons cela plus en détail.

source

L’article de silicon.fr intitulé hacker les hackers expose que les actions de représailles informatiques menées par les entreprises se développent après que celles-ci ont été victimes d’une cyber attaque. Selon l’auteur, l’affaire Sony Pictures en serait un révélateur. Heureusement, le même article explique que c’est illégal. Pourquoi l’est-ce, et pourquoi est-ce une bonne chose qu’il en soit ainsi ?

L’illégalité de la légitime défense informatique

L’article 122-5 du Code Pénal précise que : N’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte. N’est pas pénalement responsable la personne qui, pour interrompre l’exécution d’un crime ou d’un délit contre un bien, accomplit un acte de défense, autre qu’un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction.
Nous voyons donc que pour qu’il y ait légitime défense d’une personne, il faut :

1. une atteinte injustifiée envers une personne humaine ;
2. une unité de temps entre l’attaque et la riposte ;
3. la proportionnalité des actes (attaque et défense).

Cela ne peut être le cas en ce qui concerne une supposée légitime défense informatique, car les actes occasionnant de telles réponses ne sont pas (jusqu’à présent, mais attendons le développement des objets connectés) des atteintes envers les personnes. Examinons donc le second cas.
Quand il s’agit d’interrompre un délit contre un bien (intrusion dans un système de traitement automatisé des données par exemple), les conditions sont :

1. la stricte nécessité de l’acte pour interrompre le délit ;
2. la proportionnalité avec l’infraction commise.

La première condition suffit dans bien des cas. En effet, dans la plupart des cas exposés, la légitime défense informatique n’a lieu qu’une fois l’attaque terminée. Pourquoi ? Tout simplement parce que la plupart des entreprises ne sont pas capables de détecter en temps réel les attaques. Le délit étant interrompu, contre quoi l’entreprise se défendrait-elle ? De plus, selon la loi actuelle, l’acte ne peut exister que pour faire cesser le délit, non pour se venger. Enfin, l’ambiguïté des objectifs d’une attaque informatique laisse peu de place à l’appréciation d’une proportionnalité entre l’attaque et la défense, parée d’une légitimité bien douteuse.

Ceci dit, il y a parfois des décisions étonnantes en matière de légitime défense. Rappelons brièvement l’une d’elles, particulièrement exemplaire : le 5 décembre 1984 des caldoches tendirent une embuscade à Hienghène (commune de la côte Est) au cours de laquelle 10 kanaks furent tués (dont 2 frères de Jean-Marie Tjibaou qui était la cible visée, mais absent ce soir-là). Le 29 octobre 1987, les 7 auteurs de cette embuscade furent tous acquittés par la cour d’assises de Nouméa. D’où la question d’un sénateur nommé Mélenchon. L’embuscade était montée de manière militaire, avec peu de chances que les personnes visées s’en sortent. La légitime défense était… douteuse. Pourtant, les auteurs ont été acquittés. Certes, mais il peut être téméraire de vouloir être celui qui cause le revirement de jurisprudence…

Pourquoi il est bon qu’il en soit ainsi

Malgré le nombre croissant d’apôtres de la légitime défense informatique, je persiste à penser que c’est une mauvaise chose.

Tout d’abord parce que ce terme est construit sur la modification du sens de légitime défense. Ce que la loi fait, la loi peut effectivement le défaire (ou l’aménager si on reprend l’exemple supra). Mais il serait dommageable de changer encore le sens des mots, car le brouhaha s’accroît, notamment dans le cyberespace, et l’incompréhension entre gens de bonne volonté suit le même mouvement. Conservons donc à ce terme son sens.

Ensuite, parce qu’à cause du principe d’inattribution dans le cyber, on ne peut jamais être certain de l’identité de son agresseur, et la consécration de cette notion par le droit reviendrait à autoriser à punir n’importe qui. Prenons le cas simple de madame Michu, propriétaire d’un ordinateur et d’une connexion internet, choses auxquelles elle ne comprend rien mais qu’elle utilise. Son ordinateur a été compromis et sert de point de départ à une attaque visant une cible quelconque. La cible exercera donc sa pseudo légitime défense contre l’ordinateur de madame Michu, laquelle se demandera ce qui lui arrive. Cela aura-t-il fait avancer les choses ? Pas le moins du monde. Au fait, pour reprendre un exemple très récent, certains commentateurs autorisés commencent à émettre l’hypothèse que la Corée du Nord pourrait ne pas être l’auteur du piratage de SPE. D’ailleurs, ce même article explique que dans le cas de Sony, les pirates ont eu neuf mois, car il a été prouvé qu’ils se sont introduits dans les systèmes dès février 2014. C’est un peu long pour se défendre légitimement…

Enfin, parce qu l’Internet ressemblant davantage à un bobinard qu’à quelque chose d’organisé (mais c’est ainsi depuis son origine), autoriser une telle défense reviendrait à en faire une dégénérescence de far-west dans laquelle tout serait de fait permis : qui serait l’attaquant d’origine, qui aurait exercé une légitime défense ? Il deviendrait quasiment impossible aux enquêteurs de faire leur travail, car le nombre d’attaques (initiales et de défense) augmenterait, et des cibles visées seraient certainement innocentes. En outre, la justice n’aura matériellement pas le temps d’enquêter sur des faits (qu’en plus elle ne comprendra pas).

Conclusion

Il n’y a donc aucune urgence à reconnaître ni même tolérer une quelconque légitime défense informatique. Cependant, les chefs d’entreprises et leurs responsables informatiques demeurent libres de s’y essayer s’ils en ont l’envie. Qu’ils sachent cependant que cela s’effectuera à leurs risques et périls, leur responsabilité pénale étant engagée.
Et puis, poussons le raisonnement à son extrémité. Qui seraient les premiers à bénéficier de l’apparition de cette notion ? Les cybercriminels, car ils ne manqueraient pas de l’instrumentaliser à leur profit.