La loi américaine sur la fraude et l'abus informatiques (CFAA) permet aux procureurs de s'attaquer aux crimes cybernétiques. Pour la première fois dans le cadre de la CFAA, la politique "stipule que les recherches en sécurité menées de bonne foi ne doivent pas être inculpées". Le DOJ demande à tous les procureurs fédéraux de suivre la nouvelle directive et de consulter la section des crimes informatiques et de la propriété intellectuelle de la division criminelle avant d'engager des poursuites. La nouvelle politique reflète le changement d'orientation du DOJ vers des cas plus flagrants d'individus dépassant leur accès autorisé à un appareil.
Par recherches en sécurité menées de bonne foi, le ministère américain de la Justice fait référence à l'accès à un ordinateur uniquement à des fins de test, d'investigation ou de correction d'une faille ou d'une vulnérabilité de sécurité, lorsque cette activité est menée de manière à éviter tout préjudice aux personnes ou au public, et lorsque les informations tirées de cette activité sont utilisées principalement pour promouvoir la sécurité ou la sûreté de la catégorie de dispositifs, de machines ou de services en ligne à laquelle appartient l'ordinateur auquel on accède, ou de ceux qui utilisent ces dispositifs, machines ou services en ligne.
Les procureurs doivent également éviter d'inculper des personnes pour avoir simplement violé les conditions d'utilisation d'un site Web - y compris pour des infractions mineures comme l'embellissement d'un profil de rencontre - ou pour avoir utilisé un ordinateur professionnel à des fins personnelles. La nouvelle politique du DOJ tente d'apaiser les craintes concernant le champ d'application large et ambigu de la CFAA, à la suite d'un arrêt de 2021 de la Cour suprême qui encourageait une lecture plus étroite de la loi. L'arrêt a averti que l'interprétation antérieure des procureurs risquait de criminaliser une "quantité stupéfiante d'activités informatiques courantes".
L'arrêt a également donné plusieurs exemples hypothétiques que le DOJ promet désormais de ne pas poursuivre. Ce changement s'accompagne d'une sphère de sécurité pour les chercheurs qui effectuent "de bonne foi des tests, des enquêtes ou la correction d'une faille ou d'une vulnérabilité de sécurité". Les nouvelles règles prennent effet immédiatement et remplacent les anciennes directives publiées en 2014. « La politique clarifie le fait que les violations hypothétiques du CFAA qui ont préoccupé certains tribunaux et commentateurs ne doivent pas être inculpées », indique un communiqué de presse du DOJ.
« Embellir un profil de rencontre en ligne contrairement aux conditions de service du site de rencontre ; créer des comptes fictifs sur des sites Web d'embauche, de logement ou de location ; utiliser un pseudonyme sur un site de réseau social qui les interdit ; vérifier les résultats sportifs au travail ; payer des factures au travail ; ou violer une restriction d'accès contenue dans une condition de service ne sont pas en soi suffisants pour justifier des accusations criminelles fédérales », poursuit le communiqué. Lisa O. Monaco, procureure générale adjointe des États-Unis, a déclaré que la nouvelle directive devrait stimuler davantage la cybersécurité.
« La recherche en matière de sécurité informatique est un élément clé de l'amélioration de la cybersécurité. Le ministère n'a jamais voulu poursuivre en tant que crime les recherches de sécurité informatique menées de bonne foi, et l'annonce d'aujourd'hui favorise la cybersécurité en apportant de la clarté aux chercheurs en sécurité de bonne foi qui recherchent les vulnérabilités pour le bien commun », a déclaré la procureure générale ajointe des États-Unis. Ces directives reflètent une interprétation nouvellement limitée du "dépassement de l'accès autorisé" à un ordinateur, une pratique criminalisée par le CFAA en 1986.
Comme l'a expliqué Orin Kerr, écrivain et professeur de droit, en 2021, il y a eu pendant des décennies un conflit pour savoir si les gens "dépassent" leur accès en violant toute règle établie par le propriétaire d'un réseau ou d'un ordinateur, ou s'ils doivent accéder à des systèmes et des informations explicitement interdits. La première interprétation a conduit à des affaires comme "les États-Unis contre Drew", dans laquelle les procureurs ont inculpé une femme pour avoir créé un faux profil sur MySpace. La Cour suprême a penché en faveur de la seconde version, et maintenant, le DOJ le fait théoriquement aussi.
Selon certains experts, la politique ne règle pas toutes les critiques de la CFAA, comme son potentiel pour des peines de prison disproportionnées. Elle ne rend pas la loi sous-jacente moins vague puisqu'elle n'affecte que la façon dont les procureurs l'interprètent. Le DOJ prévient également que l'exception relative à la recherche en matière de sécurité ne constitue pas un "laissez-passer" pour le balayage des réseaux.
Par exemple, une personne ayant découvert un bogue et l'ayant utilisé pour extorquer de l'argent au propriétaire du système en utilisant ces connaissances pourrait être accusée d'avoir effectué cette recherche de mauvaise foi. Toutefois, même avec ces limites, la réglementation constitue un engagement à éviter d'imposer des frais punitifs de lutte contre le piratage à quiconque utilise un système informatique d'une manière qui ne plaît pas à son propriétaire.
Sources : Le ministère américain de la Justice, Mise à jour de la CFAA
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l'expression « recherches en sécurité menées de bonne foi » ?
Que pensez-vous des nouvelles directives du ministère américain sur le piratage ?
Voir aussi
Les hackers derrière le piratage de Nvidia menacent de divulguer des informations plus confidentielles, à moins que l'entreprise ne s'engage à publier en open source ses pilotes
Le FBI met en garde contre l'embauche accidentelle d'un pirate nord-coréen, car ils utiliseraient leurs salaires pour soutenir les programmes d'armes nucléaires de la Corée du Nord
Les entreprises VPN qui ne veulent pas se conformer aux nouvelles règles « devront se retirer du pays », l'Inde leur ordonne de collecter et de transmettre les données des utilisateurs
76 % des entreprises reconnaissent payer les auteurs de ransomwares, néanmoins un tiers d'entre elles ne parvient pas à récupérer ses données, selon une étude de Veeam