Le Bug Bounty est-il légal ou illégal en France ?

Par Cyberdefenseur

V ous avez repéré une faille, une vulnérabilité, un hack, un beug… sur un site et vous souhaitez en monnayer l’information ? Attention en France la pratique est pour le moment illégale…

Qu’est ce que le bug bounty dite chasse aux beugs ou encore prime ou bogue en français ?

Il s’agit d’un programme crée par une  organisation comme une société éditrice d’un site web ou d’un logiciel offrant des récompenses souvent monétaires aux personnes reportant des vulnérabilités, des failles de sécurités mais aussi de simples beugs.

Les entreprises préfèrent ainsi rémunérer les utilisateurs tels des testeurs plutôt que laisser les pirates informatiques exploiter ces failles, ce qui leur serait plus préjudiciable économiquement.
Certaines plateformes permettent la mise en relation entre entreprises et hackers white hat, c’est à dire pirate volontaire pour reporter des beugs.

Cependant autant aux Etats-Unis cette pratique est dans les moeurs  et en Inde elle est une profession à part entière, autant en France elle peut être perçue comme une menace ou du chantage…

 

Le bug bounty est légal en France ?

Si une société vous mandate pour relever ses beugs il est évident qu’il s’agit d’une simple prestation de pentest informatique mais quand est-il lorsque volontairement vous proposez de révéler une vulnérabilité contre remise d’une somme ?
Et bien c’est totalement illégal a priori même s’il n’y a pas encore de jurisprudence sur le sujet, non pas au titre du chantage mais de l’infraction d’extorsion définie à l’article 312-1 du code pénal :

L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque.

L’extorsion est punie de sept ans d’emprisonnement et de 100 000 euros d’amende.

 

C’est le site gouvernemental français Cybermalveillance qui reçoit cette qualification pénale[1]https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/campagne-darnaques-au-chantage-au-site-internet-pretendu-pirate. En effet en France vous avez pu croiser ou entendre parler de mails reçus vous menaçant de rendre public vos données ou pirater votre site contre versement d’une rançon. La plupart du temps il s’agit d’un bluff mais pour pouvoir enquêter les autorités devaient incriminer ces faits. Le pouvoir exécutif a donc décidé préventivement d’enquêter en utilisant le fondement légal de l’extorsion.

Ainsi par extension le fait de proposer de dévoiler un beug ou une vulnérabilité contre versement d’une somme tombe directement dans le champ de l’extorsion.

 

 

La qualification d’extorsion du bug bounty en France est abusive ?

Quand on parle d’extorsion on imagine le racket, la violence. Mais selon le droit français la simple contrainte pécuniaire est recevable au titre de l’extorsion. Si vous trouvez un beug vous devez donc le reporter volontairement sans attendre la moindre contrepartie et en espérer une en retour.
Il s’agit d’une spécificité culturelle. Dans les pays anglo-saxons on considère que tout travail ou information est librement monnayable au titre du libéralisme alors qu’en France on considère qu’il est du devoir de tout bon citoyen d’avertir sans exiger d’échange.

Il n’y a pas de jurisprudence pour le moment, la situation est donc libre d’évoluer le jour où le récepteur d’une demande de contrepartie contre la remise d’une vulnérabilité décidera de porter plainte pour extorsion sans accord à l’amiable.

En l’état actuel du droit français tant jurisprudentiel que doctrinal il y a de grandes chances pour le moment pour que la pratique soit sanctionnée au titre de l’extorsion pour contrainte pécuniaire.

 

 

Puis-je pratiquer le bug bounty seul ?

Imaginons que vous souhaitez tenter l’expérience sans attendre quoique ce soit en retour, après tout qui ne tente rien n’a rien et vous auriez tort de ne pas essayer de rentabiliser vos séances de pentest.

Tout d’abord vous devrez constituer une société ou une autoentreprise, il n’est pas possible de pratiquer une activité professionnelle sans statuts en France. De même il est évident que les revenus dégagés de cette activité devront être déclarés.

 

 

Puis-je faire du bug bounty en étant salarié ?

Si votre contrat de travail fait état d’une clause d’exclusivité ou de non concurrence : non. vous ne pouvez pas faire du bug bounty en ayant une activité salarié.
Enfin si vous travaillez dans l’informatique et que vous n’avez aucune de ces clauses, vous êtes quand même tenu à une obligation de loyauté laquelle vous impose de ne pas concurrencer votre employeur.

 

 

Dois-je payer la TVA si je fais du bug bounty ?

Si vous êtes autoentrepreneur et que vous avez faites moins de 34 400 € de chiffre d’affaire annuel, vous n’êtes pas redevable de la TVA sur la prime aux beugs.
Si vous êtes une société, vous devez payer la TVA.

Dans tous les cas vous devrez remettre une facture portant mention de votre régime selon le code général des impôts et de votre numéro de TVA.

 

 

Le bug bounty est une activité professionnelle très encadrée en France

Vous l’aurez compris à la lecture de cet article le droit français restreint très fortement la pratique du bug bounty au point de le cantonner à des professionnels pour des raisons culturelles mais aussi fiscales.

 

 

Interview avec le groupe de hackers Unethical Division

De toute les plateformes de bug bounty contactées c’est avec une grande surprise que c’est un groupe de hackers non éthique, Unethical Division qui nous a répondu en premier et non les plateformes conventionnelles qui nous ont snobées.

Interview avec DK, le chef du groupe…

 

Cyberdéfenseur : Bonjour DK, pouvez-vous nous dire comment se passe concrètement un bug bounty ?

DK : Bonjour ! Tout d’abord nous recevons une demande de bug bounty soit par un intermédiaire comme une agence de sécurité informatique soit directement par une société qui souhaite éprouver son logiciel ou son site. Ensemble nous mettons ensuite au point par écrit un règlement commun du bug bounty, c’est un contrat qui est communiqué aux participants. Ce contrat est indispensable tant pour garantir aux participants d’être rémunéré tant pour la société d’être assurée par des clauses de confidentialité qu’aucune vulnérabilité ne sera publiée.

Ensuite tous les participants produisent un rapport et nous récompensons le meilleur.

 

Cyberdéfenseur : Quels sont vos clients types ?

DK : Ce sont en général des startups qui jouent toute leur réputation sur un projet et qui veulent absolument limiter les risques de voir leur projet piraté. Nous avons eu aussi beaucoup de demande après la mise en vigueur du RGPD, les webmasters tiennent à absolument bien protéger les données de leurs utilisateurs et que rien ne puisse leur être reproche en cas de leaks, de fuite de données.

 

Cyberdéfenseur : Est-il déjà arrivé qu’une partie ne joue pas le jeu : un hacker exploite la faille ou la société ne paie pas ?

DK : Non tout le monde est toujours content, le pentesteur est récompensé pour son travail et la société a un rapport fiable, rédigé par des experts en cybercriminalité. Tout le monde y trouve son compte donc tout le monde joue le jeu ! Le règlement du bug bounty a une valeur juridique, le violer revient à rompre un contrat et s’exposer à des poursuites.

 

Cyberdéfenseur : Vous êtes un groupe non éthique c’est bizare de vous entendre parler de contrat et de poursuites.

DK : Nous sommes plus des grey hats que des black hats, nous avons juste une éthique différente de la norme. La loi n’est pas faite que dans un sens, nous utilisons le droit quand il peut nous protéger, c’est une arme comme une autre.

 

Cyberdéfenseur : Quelle a été la récompense la plus importante ?

DK : Hélas les bug bounties sont confidentiels, je ne peux pas dévoiler de chiffres mais pour vous donner une idée les primes les plus basses sont à 3 chiffres et les plus hautes à 5 chiffres.

 

Cyberdéfenseur : Comment vous contacter si nos lecteurs souhaitent un bug bounty ?

DK : Passez par l’agence web Acinonyx Web Agency qui sait où nous trouver…

 

 

 

Conclusion

En France, les bugs bounties sont donc réservés aux professionnels dans un cadre juridique très strict tant pour le testeur qui doit s’assurer de sa récompense que pour la société cible qui doit veiller à la non publication des vulnérabilités découvertes. Il convient donc de rédiger un règlement de la prime aux beugs couvrant toute les possibilités et ne laissant aucune ambiguïté, ce qui ne peut être réalisé que par des juristes professionnels expérimentés comme ceux de notre partenaire Eternos Corporation.

Si vous êtes un particulier préférez dévoiler les vulnérabilités sans aucune contrepartie en comptant sur la bonne volonté de la société que vous venez d’aider.
Rien ne vous empêche par la suite de dénoncer sur les réseaux sociaux leur ingratitude…

 

Les ingrats sont comme les pigeons, on les aide à s’envoler et pourtant une fois en l’air ils nous chient dessus !

Reférences

Reférences
1 https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/campagne-darnaques-au-chantage-au-site-internet-pretendu-pirate

Laissez un commentaire

0

Veuillez taper puis appuyer sur Entrée pour rechercher

Accueil
Compte
Panier
Rechercher
Comment déclarer ses revenus Mintos Crowdestor de crowdlending ou crowdfundingCybercriminalité - Pénal
dgsi haurus livre
Un ancien agent de la DGSI réagit à notre livre de référence sur la CybercriminalitéCybercriminalité - Pénal