Certains chercheurs se sont fait une spécialité de dénicher les vulnérabilités présentes dans les systèmes informatiques et exploitables par des acteurs malveillants. Rien n’oblige pourtant les éditeurs à les corriger. Et rien ne protège les chercheurs contre les menaces des entreprises. Un manque de régulation risqué pour la sécurité de certaines données.
Par milliers, les vulnérabilités des systèmes informatiques sont des portes d’entrée privilégiées par les hackers. Trend Micro, entreprise spécialisée en logiciels de sécurité, en a décelé plus de 37 000 rien que sur l’année 2023 dans le monde. Parfois connues, ces vulnérabilités ne sont pas toutes corrigées, car les éditeurs sont peu contraints par les États. Jérôme Barbier, responsable des questions spatiales, numériques et économiques pour le Forum de Paris sur la Paix, déplore le manque de normes internationales concernant les obligations de correction des vulnérabilités.
Des failles utiles aux États
“L’espionnage n’est pas illégal en droit international”, indique-t-il durant cette table ronde, fin 2023, en amont du FIC (Forum InCyber), qui se déroulera du 26 au 28 mars à Lille. Ces vulnérabilités peuvent être utilisées à des fins politiques. Selon lui, cela participe du manque de régulations internationales. Chaque État a ses propres règles. “En France, le cadre juridique est assez flou”, estime Noémie Véron, maître de conférences en droit public à l’Université de Lille. Ainsi, dans l’Hexagone, on ne légifère pas tant sur les moyens d’obtenir de la donnée que sur la catégorie de donnée captée. “La captation de données informatiques sert de fondement pour permettre aux services de police d’exploiter des vulnérabilités avec leurs propres ressources ou à travers des sociétés privées”, assure Noémie Véron.
L’affaire Pegasus, révélée en 2021, du nom de ce logiciel espion israélien, utilisé par une dizaine d’États pour obtenir des informations sur des personnalités, est un exemple de l’utilisation des vulnérabilités à des fins politiques. Contrairement à d’autres pays d’Europe comme la Pologne, la France n’en a pas fait partie. “Ce sont des sujets éminemment sensibles pour les libertés individuelles”, juge Guilhem Guiraud. Cet ancien membre de la DST (Direction de la Surveillance du Territoire), aujourd’hui Direction centrale du Renseignement Intérieur, a fondé une société capable de fournir aux États des moyens éthiques de captation de données informatiques.