Le ministre amricain de la Justice a publi jeudi une nouvelle politique d’inculpation dans le cadre de la loi sur la fraude et l’abus informatiques (Computer Fraud and Abuse Act – CFAA). ce titre, le DOJ a annonc qu’il s’engage ne plus inculper les chercheurs en scurit pour piratage informatique. L’adjointe du procureur gnral des tats-Unis, Lisa Monaco, a ajout que « la recherche informatique est un moteur essentiel de l’amlioration de la cyberscurit » et que « le ministre n’a jamais souhait poursuivre la recherche en cyberscurit mene de bonne foi en tant que crime ». Alors, qu’est-ce la recherche en scurit mene de bonne foi ?
La loi amricaine sur la fraude et l’abus informatiques (CFAA) permet aux procureurs de s’attaquer aux crimes cyberntiques. Pour la premire fois dans le cadre de la CFAA, la politique « stipule que les recherches en scurit menes de bonne foi ne doivent pas tre inculpes ». Le DOJ demande tous les procureurs fdraux de suivre la nouvelle directive et de consulter la section des crimes informatiques et de la proprit intellectuelle de la division criminelle avant d’engager des poursuites. La nouvelle politique reflte le changement d’orientation du DOJ vers des cas plus flagrants d’individus dpassant leur accs autoris un appareil.
Par recherches en scurit menes de bonne foi, le ministre amricain de la Justice fait rfrence l’accs un ordinateur uniquement des fins de test, d’investigation ou de correction d’une faille ou d’une vulnrabilit de scurit, lorsque cette activit est mene de manire viter tout prjudice aux personnes ou au public, et lorsque les informations tires de cette activit sont utilises principalement pour promouvoir la scurit ou la sret de la catgorie de dispositifs, de machines ou de services en ligne laquelle appartient l’ordinateur auquel on accde, ou de ceux qui utilisent ces dispositifs, machines ou services en ligne.
Les procureurs doivent galement viter d’inculper des personnes pour avoir simplement viol les conditions d’utilisation d’un site Web – y compris pour des infractions mineures comme l’embellissement d’un profil de rencontre – ou pour avoir utilis un ordinateur professionnel des fins personnelles. La nouvelle politique du DOJ tente d’apaiser les craintes concernant le champ d’application large et ambigu de la CFAA, la suite d’un arrt de 2021 de la Cour suprme qui encourageait une lecture plus troite de la loi. L’arrt a averti que l’interprtation antrieure des procureurs risquait de criminaliser une « quantit stupfiante d’activits informatiques courantes ».
L’arrt a galement donn plusieurs exemples hypothtiques que le DOJ promet dsormais de ne pas poursuivre. Ce changement s’accompagne d’une sphre de scurit pour les chercheurs qui effectuent « de bonne foi des tests, des enqutes ou la correction d’une faille ou d’une vulnrabilit de scurit ». Les nouvelles rgles prennent effet immdiatement et remplacent les anciennes directives publies en 2014. La politique clarifie le fait que les violations hypothtiques du CFAA qui ont proccup certains tribunaux et commentateurs ne doivent pas tre inculpes , indique un communiqu de presse du DOJ.
Embellir un profil de rencontre en ligne contrairement aux conditions de service du site de rencontre ; crer des comptes fictifs sur des sites Web d’embauche, de logement ou de location ; utiliser un pseudonyme sur un site de rseau social qui les interdit ; vrifier les rsultats sportifs au travail ; payer des factures au travail ; ou violer une restriction d’accs contenue dans une condition de service ne sont pas en soi suffisants pour justifier des accusations criminelles fdrales , poursuit le communiqu. Lisa O. Monaco, procureure gnrale adjointe des tats-Unis, a dclar que la nouvelle directive devrait stimuler davantage la cyberscurit.
La recherche en matire de scurit informatique est un lment cl de l’amlioration de la cyberscurit. Le ministre n’a jamais voulu poursuivre en tant que crime les recherches de scurit informatique menes de bonne foi, et l’annonce d’aujourd’hui favorise la cyberscurit en apportant de la clart aux chercheurs en scurit de bonne foi qui recherchent les vulnrabilits pour le bien commun , a dclar la procureure gnrale ajointe des tats-Unis. Ces directives refltent une interprtation nouvellement limite du « dpassement de l’accs autoris » un ordinateur, une pratique criminalise par le CFAA en 1986.
Comme l’a expliqu Orin Kerr, crivain et professeur de droit, en 2021, il y a eu pendant des dcennies un conflit pour savoir si les gens « dpassent » leur accs en violant toute rgle tablie par le propritaire d’un rseau ou d’un ordinateur, ou s’ils doivent accder des systmes et des informations explicitement interdits. La premire interprtation a conduit des affaires comme « les tats-Unis contre Drew », dans laquelle les procureurs ont inculp une femme pour avoir cr un faux profil sur MySpace. La Cour suprme a pench en faveur de la seconde version, et maintenant, le DOJ le fait thoriquement aussi.
Selon certains experts, la politique ne rgle pas toutes les critiques de la CFAA, comme son potentiel pour des peines de prison disproportionnes. Elle ne rend pas la loi sous-jacente moins vague puisqu’elle n’affecte que la faon dont les procureurs l’interprtent. Le DOJ prvient galement que l’exception relative la recherche en matire de scurit ne constitue pas un « laissez-passer » pour le balayage des rseaux.
Par exemple, une personne ayant dcouvert un bogue et l’ayant utilis pour extorquer de l’argent au propritaire du systme en utilisant ces connaissances pourrait tre accuse d’avoir effectu cette recherche de mauvaise foi. Toutefois, mme avec ces limites, la rglementation constitue un engagement viter d’imposer des frais punitifs de lutte contre le piratage quiconque utilise un systme informatique d’une manire qui ne plat pas son propritaire.
Source : Le ministre amricain de la Justice, Mise jour de la CFAA
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’expression recherches en scurit menes de bonne foi ?
Que pensez-vous des nouvelles directives du ministre amricain sur le piratage ?
Voir aussi