En Belgique, l’essor du « hacking éthique »

Dix mille euros, une formation de pointe offerte dans une grande société américaine et les félicitations du premier ministre en prime : c’est le cadeau qui a été offert, mercredi 27 novembre, au meilleur des pirates informatiques belges, vainqueur de l’« hackathon » – contraction de « hacking » et « marathon » – organisé pour tester la qualité des réseaux informatiques d’une série d’administrations publiques.

Cette manifestation était parfaitement légale même si elle a réuni, pendant deux semaines, des fans du piratage : étudiants, professionnels de l’informatique ou geeks, qui chassent les primes désormais offertes à ceux qui mettent en évidence les failles des systèmes mis en place dans les entreprises.

Le gagnant, Robbe Verwilghen, 24 ans, est un analyste de la société de cybersécurité Toreon, à Anvers. Avec la quarantaine d’autres hackeurs sélectionnés et tous désormais baptisés « éthiques », il est parvenu à mettre en évidence 140 « faiblesses », dont certaines jugées « critiques », de quatre administrations fédérales, dont celle des médicaments et même celle du Centre pour la cybersécurité Belgique (CCB). On ignore si l’infrastructure de celui-ci présentait des lacunes, mais toutes celles qui ont été mises en évidence pour les quatre départements auraient été rapidement comblées par leurs équipes informatiques, ont affirmé les organisateurs de ce marathon du piratage. L’expérience sera sans doute rééditée, la Belgique entendant en faire une « fierté nationale ».

Miguel De Bruycker, directeur général du CCB, récompensé en 2023 du titre de « Personnalité cybersécurité de l’année » se réjouit donc de l’action de ceux qu’il appelle les « pirates ambitieux », intéressés par l’argent, sans doute, mais surtout capables de faire barrage à leurs collègues « malfaisants ». Pionnier de la sécurité informatique et inspirateur du CCB, créé en 2015, il se félicite comme d’autres que le royaume ait aussi innové en adoptant, au début de 2023, une législation qui permet aux pirates de pénétrer les systèmes des administrations et des entreprises. A certaines conditions, mais sans risquer de poursuites puisque c’est pour la bonne cause.

Statut légal

De quoi susciter de nouvelles vocations, utiles et rémunérées : des sociétés offrent des primes, dites « bug bounty », qui vont de 50 euros à 100 000 euros aux « hackeurs éthiques » qui mettent au jour leurs carences. Le quotidien belge L’Echo évoque le cas du consultant d’une grande entreprise de conseil qui, « pour le fun et pour l’aspect financier », occupe son temps libre à pirater des réseaux, le tout sous un statut légal d’« indépendant à titre complémentaire ».

Il vous reste 18.68% de cet article à lire. La suite est réservée aux abonnés.