Afin de ne pas dévoiler l’intrigue de la série, l’article se basera uniquement sur le premier épisode de la série.« J’ai tout. Tous vos e-mails. Tous vos fichiers. Toutes vos images. […] La police ? Pour lui montrer les 100 téraoctets d’images pédophiles que vous fournissez à vos 400 000 utilisateurs ? […] ». Les premières minutes de la série Mr. Robot sont poignantes. Elliot Alderson, jeune ingénieur en sécurité informatique chez AllSafe réussit à faire tomber le gérant d’un site de pornographie enfantine. Le pédocriminel lui propose une somme d’argent en échange de son silence. Elliot réplique : « C’est là que vous vous trompez, Rohit. L’argent, je m’en fous ». Bien qu’Elliot se considère comme un cyber-justicier, ses méthodes le caractérisent comme un blackhat hacker, un hacker utilisant ses compétences en informatique pour nuire à autrui. Cependant, le jeune ingénieur aspire à d’autres ambitions : renverser le conglomérat qu’il appelle « Evil Corp » pour que la société toute entière n’y soit plus assujettie. Elliot Alderson, ne serait-il donc pas un hacktivist ?
I. Changement de nom … et de domaine : de hacker éthique à blackhat hacker
Admettons qu’Elliott soit de nationalité française et exerce ses fonctions dans une entreprise de cybersécurité française, que pourrait-on juridiquement lui reprocher ?
Le métier officiel d’Elliott implique de rechercher des potentielles failles de sécurité et de les rapporter à l’entreprise. Elliott est donc un hacker éthique. La législation française offre une protection aux hackers éthiques. Par exemple, l’article L.2321-4 du Code de la Défense prévoit que les hackers « de bonne foi » qui transmettent des informations sur une potentielle vulnérabilité d’un système d’information à une autorité compétente (dans ce cas, l’ANSSI), ne peuvent être pénalement poursuivis.
Dans le premier épisode, la société Allsafe subit une attaque R.U.D.Y (comprendre « R U Dead Yet »), type d’attaque en déni de service (auxquelles sont souvent sujettes les entreprises pendant la crise sanitaire ). L’attaque R.U.D.Y consiste à réunir le plus de connexions possibles à un site Web ou à un service pour en limiter la disponibilité. La cyberattaque contenait également un rootkit, un programme malveillant qui s’enracine dans un système d’information. Une fois activé, peuvent lire des fichiers, envoyer des données…le hacker a donc accès à distance au système d’information. Qu’encourt l’auteur d’une attaque R.U.D.Y ? Incluse au sein du Code pénal, la loi Godfrain du 5 janvier 1988 relative à la fraude informatique, au piratage et aux atteintes aux systèmes d’information de traitement automatisé de données, qualifie d’infraction, l’accès ou le maintien de manière frauduleuse dans une système d’information. Le hacker s’expose alors à une peine de deux ans emprisonnement et de 60 000 euros d’amende.
Après avoir mis tout le système de l’entreprise hors-ligne, Elliott entame le nettoyage des serveurs infectés sous l’oeil attentif et anxieux de son employeur. Le système est relancé, l’employeur quitte le data center, satisfait. Elliott, lui, reste dans le data center….reconfigure le système pour réactiver le rootkit. « Personne ne le saura » – lance-t-il. Elliott devient alors un blackhat hacker et s’expose donc aux infractions expliquées plus haut.
II. Navigation entre blackhat hacker & hacktivist
« Et si tu pouvais faire tomber un conglomérat ? — […] Si on frappe leur data center, on peut formater tous les serveurs dont celui de secours. Ça effacerait toutes nos dettes envers eux ». On comprend plus tard dans l’épisode que le maintien frauduleux dans le système d’information d’Allsafe était volontaire. On apprend alors qu’Elliott fait partie d’un groupe de hacktivits projetant d’anéantir le conglomérat Evil Corp, accusé d’être responsable de la mort de plusieurs anciens employés, dont le père d’Elliott. C’est avec ses convictions politiques et sociales qu’Elliott va mettre à profit ses connaissances en informatique pour détruire Evil Corp.
Bien que beaucoup pourraient affirmer qu’Elliott soit un hacktivist et que ses activités soient louables, la loi française n’est pas de cet avis. En effet, les méthodes employées par un hacktivist sont frauduleuses et pénalement répréhensibles. Elliott pourrait être poursuivi pour entrave au fonctionnement d’un système de traitement automatisé de données en bande organisée, toujours au regard de la loi Godfrain. Les juridictions françaises ont déjà eu l’occasion de condamner des militants du mouvement Anonymous pour ce type d’infractions (cf. T. corr. Nancy, 23 nov. 2015).
On voit bien qu’en terme de cybercriminalité, la fiction rattrape rapidement la réalité. Le pilote de la série Mr. Robot retranscrit de manière juste les problématiques touchant aux blackhat hackers et aux hacktivists, sans tomber dans le sensationnel. Une excellente manière de sensibiliser les adeptes de séries à la cybersécurité et à la cybercriminalité.