Sur sa plateforme de recrutement en ligne, la banque BNP Paribas Fortis recherche depuis début juin un conseiller technique en cyberdéfense. Elle lui demande ni plus ni moins que de pirater… son propre système informatique. Loin de nourrir l'envie de se saboter elle-même, l'institution financière se contente simplement de suivre les recommandations de la banque nationale belge, la NBB. En décembre 2015, cette dernière a publié une circulaire, dans laquelle elle enjoint les mastodontes du secteur à procéder à des «tests de sécurité complets», fondés sur des «scénarios d'attaque réalistes». Comprendre, de recruter ce que l'on nomme dans le jargon des «hackers éthiques», ou «white hats». Ces gentils pirates informatiques sont chargés, au sortir des bancs de leurs écoles spécialisées, de dénicher d'éventuelles failles de sécurité en s'introduisant dans le système de leurs employeurs.

En Belgique, de nombreuses banques avouent s'être déjà laissées séduire par ces génies 2.0. Seulement voilà : plusieurs d'entre elles tremblent à l'idée de voir leurs hackers éthiques poursuivis en justice, comme l'a confié mardi le groupe bancaire belge Belfius à l'agence de presse Belga. En cause, une loi relativement floue, qui n'établit pas l'intention frauduleuse comme condition nécessaire pour attaquer un hacker en justice. Il suffit, d'après le code pénal, que l'on entre dans un système informatique en sachant que l'on n'y est «pas autorisé, directement ou indirectement».

La fédération du secteur, Febelfin, se veut dans un premier temps plutôt rassurante. D'après sa porte-parole, Isabelle Marchand, les «white hats» seraient exempts de toute poursuite tant que les banques les recrutent via des entreprises, «dans un cadre juridique strict». Mais à l'heure où le piratage éthique serait «de plus en plus utilisé par les [institutions financières]», qui y voient une «excellente technique pour améliorer la sécurité», elle reconnaît qu'il sera peut-être nécessaire de renforcer la sécurité juridique autour de ce nouveau phénomène. De plus, les hackers, qui agissent seuls, aussi «éthiques» soient-ils, risquent bel et bien de se faire arrêter.

De telles histoires ont déjà défrayé la chronique, notamment au Royaume-Uni. Il faut pour cela remonter en 2008. Glenn Mangham, alors jeune étudiant, avait défié d’un peu trop près la sécurité de Facebook. Selon ce garçon qui avait déjà par le passé contacté Yahoo! pour l’avertir de failles dans son système (la firme l’ayant alors vivement remercié), l’intention était pourtant des plus nobles. Il ne s’est d’ailleurs jamais servi des données auxquelles il avait eu accès. De quoi prouver, selon son avocat, que Glenn était un «hacker éthique», et rien de plus. L’argument ne sembla pas convaincre le juge, qui le condamna à huit mois de prison.