Cybersécurité — Propriété Intellectuelle

🔐 Cybersécurité et Propriété Intellectuelle

Table des matières

La divulgation des vulnérabilités : entre droit public et droits du propriétaire
Les outils de sécurité offensive et le droit d'auteur
Les cyberarmes comme propriété intellectuelle
Conclusion
Bibliographie

1. La divulgation des vulnérabilités : entre droit public et droits du propriétaire

Quand un chercheur en sécurité découvre une faille dans un logiciel, il se retrouve face à un dilemme éthique et juridique : informer le public pour le protéger, ou respecter les droits du propriétaire du logiciel qui, lui, préférerait garder le silence pour éviter la mauvaise presse ? Ce tension fondamentale est au cœur de l'un des débats les plus vifs de la propriété intellectuelle appliquée à la cybersécurité.

Il existe aujourd'hui deux grandes philosophies de divulgation. La divulgation complète (full disclosure) consiste à rendre publique toute l'information sur une faille dès qu'elle est découverte, forçant ainsi les éditeurs à réagir rapidement. La divulgation responsable (responsible disclosure), aussi appelée coordinated vulnerability disclosure, prévoit une période de grâce — généralement 90 jours — pendant laquelle le chercheur informe en privé l'éditeur avant toute publication. Google Project Zero ou le programme de sécurité de Microsoft reposent sur ce second modèle.

« La divulgation des vulnérabilités est l'une des questions les plus polarisantes de la sécurité informatique : elle implique des intérêts légaux, commerciaux et éthiques qui sont souvent directement en conflit. » — Bellovin, Blaze, Landau & Pell (2014)

Mais au-delà de l'éthique, la loi intervient. Aux États-Unis, la Section 1201 du Digital Millennium Copyright Act (DMCA) interdit le contournement des mesures de protection technologique des œuvres, ce qui peut, en théorie, criminaliser les chercheurs qui testent la sécurité d'un logiciel protégé. Le U.S. Copyright Office a dû introduire des exemptions spécifiques pour la recherche en sécurité afin d'éviter que la loi ne paralyse complètement ce travail essentiel (U.S. Copyright Office, 2021).

Au Canada, la situation est similaire : la Loi sur le droit d'auteur protège les mesures techniques de protection, mais des exceptions existent pour la recherche sur l'interopérabilité. Ces cadres légaux restent cependant flous pour les chercheurs indépendants, qui exercent leur travail dans une zone grise permanente.

Cas emblématique — Aaron Swartz

En 2011, l'activiste Aaron Swartz a téléchargé massivement des articles académiques depuis la plateforme JSTOR via le réseau du MIT, au nom de la liberté d'accès au savoir. Poursuivi sous le Computer Fraud and Abuse Act avec une peine pouvant atteindre 35 ans de prison, il s'est donné la mort en 2013. Son cas illustre avec brutalité comment les lois conçues pour protéger la propriété intellectuelle peuvent être utilisées de manière disproportionnée contre ceux qui questionnent les frontières de l'accès à l'information.

La divulgation des vulnérabilités soulève donc une question de fond : à qui appartient l'information sur une faille ? Au chercheur qui l'a découverte ? À l'entreprise dont le logiciel est vulnérable ? Au public qui en subit les risques ? La propriété intellectuelle, dans sa forme actuelle, ne fournit pas de réponse claire — et c'est précisément ce flou qui rend ce domaine si problématique.

2. Les outils de sécurité offensive et le droit d'auteur

Ouvrez Kali Linux — la distribution de référence en cybersécurité — et vous aurez accès à des centaines d'outils : Nmap pour scanner les réseaux, Metasploit pour tester les exploits, Wireshark pour analyser le trafic. Ces logiciels sont des œuvres protégées par le droit d'auteur, développées par des équipes de chercheurs, et distribuées sous des licences open source. Mais leur double nature — à la fois défensive et offensive — crée une situation juridique sans équivalent dans d'autres domaines créatifs.

Prenons l'exemple de Metasploit, développé par Rapid7. Il s'agit d'un outil de test d'intrusion (penetration testing) massivement utilisé par les professionnels de la sécurité pour identifier les failles de leurs propres systèmes. Son code est protégé par le droit d'auteur et distribué sous une licence mixte (BSL + open source). Mais le même outil, entre de mauvaises mains, devient une arme. La loi ne distingue pas l'usage : c'est l'intention et l'autorisation de l'utilisateur qui font la différence, pas le code lui-même.

« Les outils de sécurité sont moralement neutres — ce sont des couteaux de cuisine que l'on peut utiliser pour préparer un repas ou pour blesser quelqu'un. La loi doit s'adapter à cette réalité plutôt que de criminaliser les outils eux-mêmes. » — Schneier, B. (2000). Secrets and Lies

Nmap, le scanner réseau open source créé par Gordon Lyon (Fyodor), illustre bien cette tension. Distribué sous une licence personnalisée (NPSL — Nmap Public Source License), il pose des conditions strictes sur son utilisation commerciale et dans des produits propriétaires. Pourquoi ? Parce que l'auteur veut éviter que son œuvre serve à construire des produits fermés qui profiteraient de son travail sans contribuer à la communauté. La propriété intellectuelle est ici utilisée non pour restreindre l'accès, mais pour forcer la transparence.

Metasploit

Nmap

Le paradoxe va plus loin : les exploits — ces bouts de code qui tirent profit d'une vulnérabilité spécifique — sont aussi des œuvres originales protégeables. Un chercheur qui développe un exploit pour démontrer une faille a, techniquement, un droit d'auteur sur ce code. Mais le publier ou le vendre peut simultanément constituer une infraction aux lois sur la cybercriminalité. On se retrouve dans la situation absurde où le créateur d'une œuvre pourrait être poursuivi pour l'avoir partagée.

Le marché des zero-days

Les zero-days — vulnérabilités inconnues de l'éditeur — se vendent sur un marché parallèle à des prix atteignant plusieurs millions de dollars. Des courtiers comme Zerodium achètent ces exploits à des chercheurs et les revendent à des gouvernements. Ces transactions soulèvent une question de propriété intellectuelle troublante : peut-on breveter une vulnérabilité ? Peut-on vendre en exclusivité l'accès à une faille qui affecte des millions d'utilisateurs ?

3. Les cyberarmes comme propriété intellectuelle

En mai 2017, une cyberattaque paralyse des hôpitaux britanniques, des usines Renault en France, des banques en Ukraine. Le ransomware WannaCry se propage à une vitesse terrifiante. Son moteur ? EternalBlue, un exploit développé par la NSA — l'Agence nationale de sécurité américaine — volé par un groupe de hackers appelé les Shadow Brokers et rendu public quelques semaines plus tôt. Une cyberarme conçue par un État pour espionner ses adversaires venait d'être retournée contre des civils du monde entier.

Cet événement pose une question de propriété intellectuelle d'une profondeur inédite : qui possède EternalBlue ? La NSA, qui l'a créé ? Les Shadow Brokers, qui l'ont volé ? Les développeurs de WannaCry, qui l'ont réutilisé ? En théorie, le droit d'auteur appartient à la NSA — agence gouvernementale américaine dont les œuvres sont, selon la loi américaine, dans le domaine public aux États-Unis, mais potentiellement protégées ailleurs. En pratique, personne ne peut faire valoir ce droit sans admettre la création d'une cyberarme offensive.

« Attribuer une cyberattaque est un acte politique autant que technique. Les preuves sont souvent ambiguës, manipulables et interprétées dans un contexte stratégique. » — Rid, T. & Buchanan, B. (2015). Attributing Cyber Attacks

Le cas de NSO Group, entreprise israélienne développeuse du logiciel espion Pegasus, illustre une autre dimension du problème. En 2019, WhatsApp (Meta) a poursuivi NSO Group en justice pour avoir utilisé une vulnérabilité de WhatsApp pour installer Pegasus sur les téléphones de journalistes, activistes et diplomates. L'argument central de Meta ne portait pas uniquement sur l'espionnage illégal, mais sur la violation des conditions d'utilisation et des droits sur le code de WhatsApp — soit un argument de propriété intellectuelle classique utilisé dans un contexte de surveillance d'État.

Ce procès a mis en lumière une réalité troublante : les grandes entreprises technologiques utilisent leurs droits de propriété intellectuelle non seulement pour protéger leurs revenus, mais aussi comme levier juridique contre des acteurs qui instrumentalisent leurs plateformes à des fins malveillantes. Le droit d'auteur devient alors un outil de défense des droits humains — une transformation de son rôle traditionnel que ses fondateurs n'avaient certainement pas anticipée.

Plus fondamentalement, la question des cyberarmes comme propriété intellectuelle expose une lacune béante du droit international. Les armes conventionnelles sont encadrées par des traités (Convention de Genève, Traité sur le commerce des armes). Les cyberarmes, elles, circulent librement, peuvent être copiées parfaitement, et leur propriété est impossible à tracer de manière conventionnelle. Un code malveillant est une œuvre de l'esprit comme une autre — mais une œuvre dont la diffusion peut tuer.

Stuxnet — La cyberarme comme œuvre d'auteur

Stuxnet, le ver informatique développé conjointement par les États-Unis et Israël pour saboter le programme nucléaire iranien, est considéré comme la première cyberarme de classe militaire jamais déployée. Son code d'une sophistication extrême représente des années de travail de programmeurs de haut niveau. En tant qu'œuvre logicielle, il est protégeable par le droit d'auteur — mais personne ne peut le revendiquer officiellement sans admettre une opération d'espionnage d'État. La propriété intellectuelle bute ici sur les secrets d'État.

4. Conclusion

La cybersécurité révèle les limites profondes du droit de la propriété intellectuelle face à des réalités techniques et éthiques que ses concepteurs n'avaient pas envisagées. Les outils peuvent être à la fois des boucliers et des épées. Les œuvres les plus précieuses sont parfois celles qu'on ne peut pas revendiquer publiquement. Et les victimes d'une violation de propriété intellectuelle peuvent être des millions de civils plutôt que des artistes ou des entreprises.

Ce que la cybersécurité enseigne au droit de la propriété intellectuelle, c'est que la loi ne peut pas ignorer le contexte d'utilisation d'une œuvre. Un même code peut protéger ou détruire selon qui l'utilise et dans quel but. Les cadres juridiques actuels — conçus pour protéger des romans, des inventions industrielles ou des marques commerciales — peinent à s'adapter à cette réalité binaire. L'enjeu socio-économique est immense : dans un monde où les infrastructures critiques (hôpitaux, réseaux électriques, systèmes financiers) dépendent de logiciels, la question de qui possède les outils qui les protègent — ou les menacent — est une question de société fondamentale.

5. Bibliographie

Bellovin, S. M., Blaze, M., Landau, S., & Pell, S. K. (2014). Lawful hacking: Using existing vulnerabilities for wiretapping on the Internet. Northwestern Journal of Technology and Intellectual Property, 12(1), 1–65.
Schneier, B. (2000). Secrets and lies: Digital security in a networked world. John Wiley & Sons.
Rid, T., & Buchanan, B. (2015). Attributing cyber attacks. Journal of Strategic Studies, 38(1–2), 4–37. https://doi.org/10.1080/01402390.2014.977382
U.S. Copyright Office. (2021). Section 1201 of title 17: A report of the Register of Copyrights. https://www.copyright.gov/1201/
WhatsApp Inc. v. NSO Group Technologies Ltd., No. 4:19-cv-07123 (N.D. Cal. 2019).