Le ministère américain de la Justice a ordonné aux procureurs de ne pas inculper des "chercheurs de la sécurité de bonne foi" pour violer la loi sur la fraude et les abus informatiques (CFAA) si leurs raisons de piratessai.
Le bon fait, selon la politique [PDF], signifie utiliser un ordinateur "uniquement à des fins de test de bonne foi, d'enquête et / ou de correction d'une faille de sécurité ou d'une vulnérabilité."
De plus, cette activité doit être «effectuée d'une manière conçue pour éviter tout dommage aux individus ou au public, et lorsque les informations dérivées de l'activité sont principalement utilisées pour promouvoir la sécurité ou la sécurité de la classe d'appareils, de machines ou en ligneservices auxquels appartiennent l'ordinateur accessible, ou ceux qui utilisent de tels appareils, machines ou services en ligne."
La mise à jour précise que la réalisation de recherches en sécurité dans le but de trouver des défauts dans les appareils ou les logiciels, puis extorquer les propriétaires, "n'est pas de bonne foi."
Espérons que les changements de politique rendront la vie des chercheurs en sécurité moins stressante
"La recherche sur la sécurité informatique est un moteur clé de l'amélioration de la cybersécurité", a déclaré le sous-procureur général Lisa Monaco."Le département n'a jamais été intéressé à poursuivre la recherche sur la sécurité informatique de bonne foi en tant que crime, et l'annonce d'aujourd'hui promeut la cybersécurité en apportant une clarté pour les chercheurs en sécurité de bonne foi qui éliminent les vulnérabilités du bien commun."
La nouvelle politique clarifie la langue CFAA qui interdit à l'accès à un ordinateur "sans autorisation", mais a longtemps été critiqué par les chercheurs en sécurité et certains législateurs pour ne pas définir ce que le terme signifie.Quiconque est accusé de violation de la loi peut affronter jusqu'à une longue période derrière les barreaux.
Les critiques de la CFAA indiquent souvent la mort d'Aaron Swartz, décédée par suicide en 2013 après que les procureurs fédéraux l'ont inculpé en vertu de la loi sur la fraude informatique pour avoir téléchargé des millions de documents de recherche.Deux tentatives antérieures de réforme législative, connues sous le nom de loi d'Aaron, n'ont jamais fait du Congrès. And it's worth noting that the updated policy is not a legislative fix to the problem.
Allonger sur votre profil de rencontres: toujours ok
En vertu de la nouvelle politique, le ministère de la Justice a déclaré qu'il ne poursuivra pas les chercheurs pour accéder aux systèmes informatiques "sans autorisation" à moins:
Ces objectifs d'application "visent à promouvoir la confidentialité et la cybersécurité en respectant le droit légal des particuliers, des propriétaires de réseaux, des opérateurs et d'autres personnes pour assurer la confidentialité, l'intégrité et la disponibilité des informations stockées dans leurs systèmes d'information", déclare le ministère.
De plus, les mises à jour clarifient certaines violations hypothétiques de la CFAA.Par exemple, les procureurs ne vous factureront pas pour embellir un profil de données en ligne, en utilisant un pseudonyme sur un site de réseautage social qui interdit les faux noms, ou vérifie les scores sportifs ou le paiement des factures au travail.
While security researchers agree the updated policy is a step in the right direction, most contacted by The Register say the changes don't go far enough to protect them while they simply do their jobs.
Une nouvelle politique ne va pas «presque assez loin»
La Electronic Frontier Foundation (EFF), qui a longtemps appelé à la réforme de la CFAA, a noté qu'il était "heureux" que le département reconnaisse le rôle que les chercheurs jouent dans la création de l'Internet entier plus sécurisé.
"However, the DOJ's new policy does not go nearly far enough: by exempting research conducted 'solely' in 'good faith,' the policy calls into question work that serves both security goals and other motives, such as a researcher's desire to be compensated or recognized for their contribution," EFF Senior Staff Attorney Andrew Crocker told The Register.
La politique de l'agence n'est pas contraignante et peut également être modifiée à tout moment par une future administration, a-t-il ajouté.
"Et cela ne fait rien pour réduire le risque de litige civil frivole ou exagéré du CFAA contre les chercheurs en sécurité, les journalistes et les innovateurs", a déclaré Crocker."La politique est un bon début, mais elle ne remplace pas la réforme complète du CFAA."
Le pirate autoproclamé Nate Warfield, qui travaillait auparavant comme chercheur principal pour Microsoft, a également qualifié les changements de décision positive.
"There are risks in doing security research in that depending on the research target, the response to one's findings may not be taken as being well intended," he told The Register, noting Aaron Schwartz, and, more recently the Missouri reporter who was threatened with prosecution after reporting social security numbers exposed on a State government website.
"C'est une ligne fine pour démontrer ce qu'un acteur malveillant pourrait faire pour tenter d'avertir une organisation", a poursuivi Warfield.
"Pensez-y comme si je me dirigeais vers votre maison, j'ai vu qu'il avait été déverrouillé, fais-moi entrer et utilisé votre téléphone domestique pour vous appeler et vous faire savoir que vous aviez quitté votre maison", a-t-il dit."Bien que cela ait été fait avec de bonnes intentions, aux yeux de la loi, il entre en train."
Aucune protection au niveau de l'État
De plus, la politique ne protège pas les chercheurs contre les poursuites au niveau de l'État, ni les protéger des entreprises qui décident d'agir.
"Je ne pense pas que cela s'adressera aux personnes arrêtées, aux mandats de perquisition émis ou à leurs noms en macultes", a déclaré Warfield."Bien qu'ils puissent éventuellement être éliminés de tout acte répréhensible, les dommages à leur vie auront déjà été causés."
Alors que les changements de politique sont une «amélioration», l'analyste de la sécurité de Forrester Allie Mellen a noté que la «communauté des pirates a une histoire longue et difficile avec la CFAA."
Because of this, the phrase "good-faith research" and other vaguely worded sections in the policy leave a good amount of prosecutorial wiggle room, and "should give security researchers pause," Mellen told The Register."Il est important pour les chercheurs de tenir des registres de tous les accords conclus avec les entreprises qu'ils recherchent et toute autre paperasse pertinente."
Ministère de la bonne foi?
Espérons que les changements de politique rendront la vie des chercheurs en sécurité indépendante "un peu moins stressante en leur donnant plus de liberté de travailler sur la chasse aux insectes et la divulgation responsable, sans la menace en surplomb du système juridique", a ajouté Kev Breen, directeur de Labs immersifde la recherche cyber-menace.
Pourtant, cela ne donne pas aux chasseurs de bogues indépendants un laissez-passer gratuit. "If they do find vulnerabilities and report them — especially if they tipped over the lines — they may still find themselves in hot water," Breen told The Register."Je les exhorte à appliquer toujours le même niveau de prudence et d'éthique que nous aurions attendues d'eux avant cette annonce."
Et lui, comme plusieurs autres, conteste "Good Faith", que Breen a appelé "un peu une déclaration floue."
Divulgation complète: Breen est britannique, mais bien qu'il ne soit pas lié par la politique américaine, il a noté que le Royaume-Uni a des lois similaires.
"Mis à part ma nationalité, cela ne ferait pas beaucoup de différence pour un chercheur en sécurité qui travaille au nom d'une organisation", a-t-il déclaré.
Voici ce que signifie Breen: la première chose qu'il fait lors du début d'un projet de recherche ou d'une divulgation responsable est d'appeler l'avocat général de l'entreprise, "surtout lorsque l'organisation se trouve en dehors du Royaume-Uni", a-t-il déclaré.
"C'est pour m'assurer que je ne m'éloigne pas trop de ces lignes virtuelles sur le terrain numérique, mais plus important encore, j'ai une couverture supérieure si les choses vont un peu en forme de poire ou si une entreprise ne comprend pas la divulgation responsable,"Breen a expliqué.®
Get our Tech Resources