Rechercher et identifier des vulnérabilités, c'est bien. Rechercher et identifier des vulnérabilités dans le respect des règles légales, c'est mieux. Mais quelles sont les règles applicables au bug bounty ? Regardons ce qu'il en est côté plateforme et côté pentester.
« Donner son nom à la première jurisprudence est rarement vécu comme une expérience agréable » - @FuraxFox dans un podcast NoLimitSecu de juillet 2019
1. Du rappel de quelques règles de base…
Ce n'est pas parce qu'il n'existe pas de « code de la cybersécurité » que l'activité professionnelle de recherche des vulnérabilités n'est pas encadrée par le droit français. En effet, effectuer un pentest sans accord préalable, comme par exemple en ayant signé en amont un contrat avec une plateforme de bug bounty, est considéré, en 2023, comme totalement illégal, à moins que l’objet de votre société soit le test d’intrusion... Un tel chercheur de vulnérabilités, parfois auto surnommé « hacker » ne serait dès lors qu’un « amateur bricoleur » exposé à des représailles juridiques.
Le Code pénal et la jurisprudence sont assez clairs sur le sujet : rentrer sans autorisation préalable et écrite (au sens juridique : qui peut se prouver), c'est...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première