Sur quels principes baser un droit de légitime-défense numérique ?

Publié Par Frédéric Prost, le dans Internet

Est-on en droit de répondre aux hackers qui piratent nos ordinateurs ? Peut-on en retour pirater les pirates ?

Par Frédéric Prost.

Est-il légitime de piéger les RATs ? Je parle bien sûr des Remote Administration Tools, c’est-à-dire de ces logiciels pirates qui permettent de prendre le contrôle à distance d’un ordinateur, et non de nos parfois envahissants rongeurs des villes et des champs. Les RATs ce sont ces logiciels qu’utilisent les hackers, gouvernementaux ou particuliers, pour espionner tout ce qui se passe sur un ordinateur particulier : cela va du vol de fichier à la prise de contrôle de la caméra et du micro installés sur votre ordinateur. C’est typiquement le programme qu’utilise Lisbeth Salander dans Millenium dans le monde imaginaire ou celui, bien réel, propagé par le virus  flame issu de certaines officines, dont un prédécesseur a été utilisé pour pirater les ordinateurs iraniens dans l’affaire Stuxnet. Il semblerait également que c’est un malware de cette famille qui soit à l’origine de la dernière affaire des écoutes de l’Élysée. La question est remarquablement complexe et emblématique des impacts sociétaux des nouvelles technologies. Un récent papier de recherche de S. Denbow et J. Herz montre qu’il est techniquement tout à fait possible de contre-pirater ces logiciels. C’est-à-dire d’utiliser le RAT pour infiltrer l’ordinateur du pirate qui se retrouve lui même piraté. Mais a-t-on le droit de pirater les pirates ? Est-ce légal, à défaut d’être légitime, ou bien même souhaitable et si oui quelles sont les limites ?

Ces questions relatives aux nouvelles technologies de l’information et de la communication sont toujours déroutantes et complexes à analyser car elles conjuguent deux difficultés incontournables : d’une part elles sont récentes et d’autre part elles sont le lieu où s’expriment les différences fondamentales entre le monde réel et le monde virtuel. La démocratisation d’internet est très récente et ce n’est que très récemment que cette technologie est devenue quasi incontournable pour la vie de tous les jours dans notre monde moderne. Aujourd’hui toutes les informations, ou presque, nous concernant naviguent sur ce réseau : des impôts aux examens de santé en passant par les photos de famille et autres comptes bancaires. Le potentiel d’arnaques, de fraudes et de vols a littéralement explosé de ce fait. Cependant entre voler un vélo et voler une information il n’y a que le mot « voler » qui soit en commun et nous avons très peu de recul (cela se traduit par le fait que la jurisprudence est quasi inexistante dans ces affaires) et même très peu d’outils intellectuels pour savoir comment traiter ces questions. Bien sûr on pourrait s’inspirer du droit commun, mais ce dernier est surtout adapté à un monde réel (les informations, par exemple, se trouvaient consignées sur des objets, des documents physiques jusqu’à il y a peu), pas vraiment à un monde virtuel. Les controverses sur l’identité numérique n’étant qu’un exemple de ces difficultés à concilier ces deux mondes.

Le parallèle qu’on serait tenté de faire est celui de la légitime défense. Il est reconnu partout qu’on a le droit de se défendre quand on est attaqué y compris en ayant recourt à la force si nécessaire (mais la riposte doit être proportionnée à l’attaque et cesser dès qu’il n’y a plus de danger), même si c’est l’État et ses représentants qui s’arroge le monopole de la violence légitime. Dès lors, qu’un pirate se fasse lui-même pirater paraît non seulement légitime mais cocasse. Bien fait pour lui ! serait on tenté d’ajouter. Mais quelles sont les limites, les contours de cette légitime défense numérique ? Si l’on reprend l’analogie avec ce qui se passe dans le monde réel on constate qu’il ne faut pas faire l’amalgame entre « être en état de légitime défense » et « se faire justice soi-même ». Par exemple, il n’est pas permis de rentrer par effraction chez quelqu’un sous prétexte qu’il vous a dérobé un objet. L’attitude légale consiste à passer par la force publique (donc de porter plainte, de saisir la police etc.) pour éviter que la société se retrouve dans un état Hobbesien de la guerre de tous contre tous.

Dans un premier temps supposons qu’il soit interdit de pirater ceux qui vous piratent. Après tout il n’y a pas de risque immédiat pour votre intégrité physique dans ce type d’affaires. Il faudrait donc que vous saisissiez la justice et son bras armé la police pour qu’elles traitent le sujet. Même en supposant un monde idéal (où la police réagirait avec célérité et efficacité sur ce genre de problèmes) cela n’est pas sans poser quelques questions car pour cela il faudrait que vous ouvriez votre réseau/ordinateur aux enquêteurs. In fine cela impliquerait le droit à l’état de s’immiscer dans votre vie privée (on peut imaginer dans le cas d’entreprises par exemple qu’il y ait des problèmes économiques qui s’ajoutent).

Une particularité du monde digital est qu’il est très facile de se tromper : il est tout à fait possible que le hacker s’attaquant à votre ordinateur passe par plusieurs relais. Permettre la légitime défense numérique supposerait donc de donner le droit à une personne attaquée de contre-pirater toute une chaîne d’ordinateurs de personnes tierces. Est-ce raisonnable ? Pour pousser la logique jusqu’au bout supposons par exemple que le pirate a pris le contrôle de l’ordinateur d’un hôpital pour vous attaquer ensuite : avez vous le droit de vous introduire dans l’ordinateur de cet hôpital (et peut être mettre des vies en danger en compromettant cet ordinateur) pour remonter jusqu’à celui qui vous attaque ?

Une chose paraît claire : vous êtes autorisés à faire ce que vous voulez sur vos données et sur votre ordinateur. Donc il est toujours possible, légal et même légitime, de modifier un malware installé sur votre ordinateur (même si ce n’est pas vous qui l’avez installé). Mais cela vous donne-t-il le droit en retour d’infecter d’autres systèmes ? Quand on y réfléchit de plus près on s’aperçoit que même cela n’est pas si clair : comment analyser la situation dans un système supportant plusieurs utilisateurs, où les ressources sont distribuées par exemple ? Enfin une fois que quelqu’un vous a subtilisé des données sont-elles toujours à vous ? La question peut paraître rhétorique mais elle est très concrète : avez-vous le droit de supprimer des données égales à celles que vous détenez ?

On le voit, une notion assez simple comme celle de la défense de la propriété peut se révéler particulièrement complexe dans le monde digital (et encore je n’ai fait que présenter que quelques arguments à titre d’exemple, je n’ai même pas effleurer le fait que les ordinateurs peuvent se trouver sur des continents différents etc.). Pour la plupart, ces questions restent sans réponses définitives et nous ne sommes qu’aux balbutiements d’une nouvelle ère : même les concepts opérants pour cette ère-là ne sont pas encore clairs. Pourtant la dimension numérique de nos vies ne cesse de grandir en volume et en importance. Il est urgent de penser ces problèmes là, de dégager des principes permettant de juger ce qui se passe avec un peu plus de finesse que de simplement transposer ce qui se passe dans le monde réel. Juristes, philosophes, scientifiques et particuliers devraient se saisir sérieusement de ces problématiques : nos libertés de demain en dépendent directement.

Laisser un commentaire

  1. « Enfin une fois que quelqu’un vous a subtilisé des données sont-elles toujours à vous ? » Oui, comme n’importe quel bien volé. Comment peut-on même oser poser cette question ?

    « Une notion assez simple comme celle de la défense de la propriété peut se révéler particulièrement complexe dans le monde digital » : quelle différence entre le monde physique et le monde digital ?

    On peut même considérer que c’est l’affaiblissement de la propriété privée dans le monde physique, notamment avec la négation de la légitime défense, qui offre aux pirates une forme d’immunité légale dans le monde digital.

    1. « Oui, comme n’importe quel bien volé. Comment peut-on même oser poser cette question ? »

      Ce n’est pas tout à fait aussi simple : si j’ai une pièce d’or qu’on me vole je peux la récupérer et la mettre au coffre de nouveau. Une fois qu’elle sera au coffre le voleur ne l’aura plus en sa possession. Que signifie reprendre un secret ? Le fait de le reprendre a t il même un sens ? Vous pensez pouvoir modifier la mémoire de votre voleur ? Retrouver les 17 fichiers copiés qu’il a produits ? Ceux qu’il a diffusé sur internet ? Si oui expliquez nous comment vous faites.

      « quelle différence entre le monde physique et le monde digital ? » La différence comme je le disais est que le partage n’est pas à somme nulle dans le monde virtuel : si je communique une idée je l’ai toujours. Par contre si je donne une pièce d’or je ne l’ai plus. Voila en deux mots la différence entre le monde physique et le monde digital.

      1. On ne peut effectivement pas récupérer un secret dévoilé, comme on ne peut pas récupérer un bien qui aurait été détruit. Mais on peut récupérer le revenu ou la perte de revenu potentiel attachés au secret, ce qui revient au même. Logique similaire à propos de l’idée : ce n’est pas l’idée elle-même qu’il convient d’analyser mais les revenus qu’elle procure.

        Quand on le « monétise », le droit de propriété s’éclaire dans toute sa simplicité, son évidence et surtout sa nécessité impérative : sans propriété privée clairement définie et fermement défendue, il n’y a plus de liberté possible. Pour illustrer mon propos (même si les circonstances sont différentes), un certain trader (j’ai oublié son nom, il n’est pas très connu) a pu comprendre tardivement ce qu’est véritablement le droit de propriété, mais il lui a fallu la lumière d’une amende d’un peu plus de 4 milliards.

        Affaiblir le droit de propriété dans le monde digital, ou même simplement le distinguer, conduira inexorablement à l’affaiblir dans le monde réel. Alors, l’Etat collectiviste n’aura plus aucune limite pour considérer qu’il est l’unique propriétaire légitime de tout et (surtout) de tous : c’est la route de la servitude transformée en autoroute.

        1. C’est l’idée même de propriété qui est très difficile à soutenir dans le monde virtuel. Pour caricaturer personne n’y est propriétaire de quoique ce soit, ni les particuliers, ni a fortiori l’état. Vouloir faire rentrer la réalité physique au pied de biche dans le monde virtuel (par le biais des revenues qu’elle procure) est dans une certaine mesure ce que les majors essayent de faire pour garder leur business modèle intact : DRM, taxes sur les copies privées etc. Ca ne marche pas. Pire que ça : ça ne peut pas marcher.

          Je vous redirige vers la page wikiberal traitant de la propriété intellectuelle pour avoir quelques éléments de réflexion sur le sujet : http://www.wikiberal.org/wiki/Propri%C3%A9t%C3%A9_intellectuelle

          1. « Les majors essayent de faire pour garder leur business modèle intact  » : pour tout dire, j’attendais cet argument qui n’est que l’écume du sujet.

            Les pirates dont je parle ne sont pas ceux qui échangent la musique ou des films. Quoique, les collectionneurs compulsifs de biens culturels feraient bien de réfléchir un peu plus loin que leur consommation immédiate car on attend toujours le modèle économique virtuel miraculeux qui permettra aux artistes de vivre dignement de leur production. Si on persiste dans l’impasse, un jour ou l’autre, il n’y aura plus rien à consommer.

            Est-ce si difficile de renoncer à un bien intellectuel lorsque son auteur annonce clairement qu’il ne souhaite le voir diffusé gratuitement ? Que je sache, un libéral est capable de faire la différence entre contrainte et volontariat. Non ?

            Pour revenir au sujet, le vrai pirate, c’est le salopard qui pirate mon PC pour me piquer mon code bancaire et, fort de son immunité dans le monde virtuel, va s’acheter 50000 euros de biens très réels le temps que je bloque mon compte. Le vrai pirate, c’est l’enflure qui viole mon intimité dans le monde virtuel pour me soumettre à un chantage bien concret dans le monde réel. Le vrai pirate, c’est le fisc qui, profitant de lois scandaleuses proprement exorbitantes du droit commun, accède à mes comptes bancaires pour pourvoir me taxer.

            Sinon, bravo pour le lien ! Je constate que je suis assez proche des idées de Bastiat ou de Rand. Mieux qu’une médaille !

          2. Et vous remarquerez, bubulle, que les crimes dont vous parlez ont lieu dans le monde physique.

            Par exemple, le chantage se passe de la même manière, d’ou que proviennent les informations.

  2. Je pense qu’on est typiquement dans un faux problème, parce que mal posé. Le mot « pirate » est très mal adapté à ce qui se passe. Un pirate informatique ne manipule que de l’information.
    Quand il regarde et copie ce qui se trouve sur la machine d’un tiers son activité est essentiellement celle d’un voyeur.
    Quand, à l’inverse, il met en place sur la machine d’autrui des documents, des logiciels, il est essentiellement un menteur, producteur de faux en écriture
    Enfin, quand il fait tourner la machine à son profit c’est un voleur (voleur de puissance électrique et d’usufruit).
    Pour contre-pirater, il faut d’abord s’apercevoir que le mal a été fait. Cette constatation permet quasiment tout le temps de rapidement faire cesser le trouble et donc contre-pirater ce n’est plus de la légitime défense, c’est de la vengeance.

    1. « Contre-pirater, ce n’est plus de la légitime défense, c’est de la vengeance. » La vengeance, action de rendre le mal pour le mal, n’est certes pas légitime mais elle n’a rien à voir à l’affaire. La vengeance est un jugement dévoyé. La légitime défense ne consiste pas à juger ou à se venger mais à mettre un agresseur hors d’état de nuire. Cela ne préjuge en rien du jugement ultérieur.

      1. La légitime défense consiste à mettre un agresseur hors d’état de nuire spécifiquement dans la circonstance rencontrée (et pas en général), et seulement de la façon la moins agressive ( mettre un haut parleur sur off ou éventuellement le débrancher, plutôt que l’exploser, par exemple) ; je ne vois pas dans quelle circonstance il serait absolument nécessaire de contre- »pirater » pour faire cesser une attaque informatique.

        1. Parce qu’une attaque informatique est déjà en soi un phénomène suffisamment complexe à définir. Sinon c’est simple il ne vous reste qu’à couper internet et toute communication (après tout ce qui se passera sur votre machine c’est votre problème) : c’est simple n’est-ce pas ? Mais on peut alors soutenir que l’attaque continue toujours : on appelle ça un déni de service. D’autre part si vous coupez toute communication comment pouvez vous espérer un jour retrouver le coupable ?

  3. C’est extremement simple a definir, l’Etat n’a rien a voir dans l’Internet. Depuis son existence le libre marché permet de trouver des parades et assurer la sécurité, aucune raison de changer quoi que ce soit.