Fouiller un compte Facebook verrouillé, consulter des messages privés sur Twitter ou encore vérifier les derniers e-mails sur la messagerie de son petit ami… Autant d'actions désormais à portée de clic de tous les internautes, en échange de quelques euros. C'est le principe même du portail Hacker's List lancé en novembre dernier, qui propose d'engager un hacker pour des piratages en tous genres. Mais est-ce bien légal ?
>> LIRE AUSSI - Le Monde visé par une cyberattaque de l'armée électronique syrienne
Hacker's List, comment ça marche ? Le principe est simple : les internautes publient, sous la forme de petites annonces en ligne, la demande de piratage pour laquelle ils requièrent un hacker. Dans l'annonce, il faut préciser un montant maximum attribué pour cette mission : il ne reste plus aux hackers intéressés qu'à proposer leurs services. Par exemple, si vous souhaitez vérifier le contenu des messages privés du compte Facebook de votre partenaire, il vous suffit de décrire votre requête, de préciser que vous êtes prêts à investir jusqu'à 1.000 dollars maximum et d'attendre les réponses des hackers intéressés. Bien entendu, plus la requête est compliquée, plus le montant exigé pour y répondre sera élevé.
Pourquoi c'est nouveau. On trouve des sites de petites annonces pour tout sur Internet. Mais avec l'avènement du Web et de "l'immédiateté", le métier de détective a évolué pour se porter désormais en grande partie sur Internet. Depuis son lancement en novembre dernier, Hacker's List a compilé plus de 800 annonces anonymes, pour 40 hackers enregistrés. Lorsque la mission est accomplie, le pirate est rétribué et c'est là que le portail prélève une partie du montant pour se rémunérer.
Du piratage de bas étage. En cette période de piratage intensif - on parle de plus de 20.000 portails attaqués depuis le 7 janvier, les attaques proposées par Hacker's List ne relèvent pas vraiment de la cybercriminalité. "On peut louer un hacker entre 1.000 et 3.000 dollars la journée depuis des années. Mais ce qui est nouveau, c'est que c'est désormais à la portée de presque tous", constate Jean-François Beuze, expert en cybersécurité interrogé par Europe 1. Il y a bien quelques annonces qui sortent du lot, comme par exemple cet internaute qui souhaite "pirater la base de données d'une banque". Mais elles sont rares et il n'est pas dit qu'il ne s'agisse pas d'une blague.
>> LIRE AUSSI - Mots de passe : Batman et Superman ne vous protégeront pas !
C'est légal ? Sauf que hacker un compte Facebook, protégé par un identifiant et un mot de passe, accéder à un iPhone verrouillé ou encore débloquer un ordinateur sécurisé est parfaitement illégal. Officiellement, les créateurs du site basé en Nouvelle-Zélande (ou les lois sont plus laxistes sur le sujet) assurent que les conditions d'utilisation de Hacker's List interdisent l'usage du service "à des fins illégales" mais ce n'est pas le cas dans les faits.
> Ce que risquent les hackers. La plupart des clients du site se trouvant à l'étranger, "il est difficile de poursuivre un internaute à l'étranger", précise Jean-François Beuze. "Devant la justice française par exemple, il va falloir justifier une intrusion sur un compte verrouillé", détaille ce spécialiste de la sécurité. Dernier point qui semble protéger les hackers de ce portail de toute poursuite judiciaire : les pirates se font souvent payer en monnaie virtuelle. "Le BitCoin est anonyme ou du moins bien plus difficile à tracer", explique Jean-François Beuze. Hacker's List ne devrait donc pas craindre grand chose d'un point de vue légal.
>> LIRE AUSSI - Les risques de cyberattaques n'ont jamais été aussi grands
> Ce que risquent les annonceurs. Les choses sont bien plus claires en ce qui concerne tout internaute français postant une annonce sur Hacker's List. Comme le précise la Commission nationale informatique et libertés (CNIL), c'est la personne qui "commande" un piratage qui endosse sa responsabilité. En résumé, si vous engagez un hacker pour récolter des informations confidentielles, c'est bien vous qui serez responsables au regard de la loi. Et la sanction est formelle : "la communication d'informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300.000 euros d'amende". Suffisant pour dissuader les Français un peu trop curieux ?