Les législateurs britanniques ont proposé un amendement au projet de loi sur la sécurité des produits et l’infrastructure des télécommunications (PSTI) qui donnerait aux professionnels de la cybersécurité une défense juridique pour leurs activités en vertu du Computer Misuse Act (CMA).
Un groupe multipartite de la Chambre des Lords, la deuxième chambre du Royaume-Uni, a déposé l’amendement mardi 21 juin.
La Facture PSTI est conçu pour prendre en charge le déploiement de la 5G au Royaume-Uni tout en imposant des politiques de divulgation des vulnérabilités aux fournisseurs de produits de l’Internet des objets (IoT), entre autres dispositions de sécurité.
« Agir de bonne foi »
La CyberUp Campaign, une coalition de l’industrie de la sécurité appelant à une réforme globale de la CMA, soutient qu’une défense statutaire en vertu de la loi de 1990 protégerait les chercheurs en sécurité, les pirates éthiques et les testeurs de plumes contre les poursuites judiciaires fallacieuses lorsqu’ils recherchent ou signalent de manière responsable des vulnérabilités.
Prenant la parole à la Chambre des Lords hierLord Arbuthnot d’Edrom a fait référence à la suggestion de la campagne CyberUp selon laquelle une défense légale devrait être basée sur « les avantages potentiels de l’acte l’emportant sur les dommages potentiels », sur « des mesures raisonnables prises pour minimiser les risques de causer des dommages… l’acteur agissant manifestement dans bonne foi [and] pouvoir faire preuve de compétence ».
La campagne CyberUp a également exhorté le gouvernement à publier les conclusions de son «appel à information» (consultation) sur l’efficacité de la CMA, qui a fermé il y a plus d’un an.
Le ministre britannique de l’Intérieur, Priti Patel, a annoncé la consultation avec les universités, les forces de l’ordre et l’industrie de la cybersécurité parallèlement aux plans de révision de la CMA en mai 2021.
Kat Sommer, responsable des affaires publiques chez CyberUp backer NCC Group et porte-parole de CyberUp, a salué l’amendement PSTI, notant que certains pays avaient « des régimes plus permissifs, mais aucun pays n’est encore allé jusqu’à introduire une défense contre l’accès non autorisé ».
« Bien sûr, la situation idéale est que le gouvernement propose des réformes de la loi sur l’utilisation abusive des ordinateurs qui offrent une défense dans plus que le cas des produits connectés – après un an d’attente, on pourrait penser que nous serions susceptibles d’entendre quelque chose des ministres à ce sujet bientôt.
« Faire simplement leur travail »
Les militants pensent que, s’il est adopté, l’amendement protégera les goûts du chercheur en sécurité Rob Dyke, qui a été menacé de poursuites judiciaires en vertu de la CMA – des menaces qui ont finalement été abandonnées – après avoir alerté une organisation à but non lucratif britannique sur des failles de sécurité en 2021.
« Je suis vraiment heureux qu’il semble que les législateurs commencent à prendre au sérieux la nécessité pour les chercheurs en cybersécurité comme moi d’avoir la protection de la loi », a déclaré Dyke. « Ce n’est pas juste que les gens aient à subir ce que j’ai simplement pour faire leur travail. »
A NE PAS MANQUER Computer Misuse Act : la plupart des professionnels britanniques de la cybersécurité craignent d’enfreindre la loi simplement en faisant leur travail
Lord Arbuthnot aussi dit à la Chambre des Lords que lorsque la CMA a été promulguée, « aucune considération n’a été accordée – je m’en souviens parce que j’étais là – au web scraping, à l’analyse des ports ou à la dénotation de logiciels malveillants, et les gens ne sont pas sûrs qu’ils soient légaux. Certains d’entre nous ne savent pas exactement ce qu’ils sont.
« C’est pourquoi il doit y avoir une certitude pour les chercheurs en cybersécurité – ils doivent être capables de faire des choses pour le bien public. »
Les développements récents connexes outre-Atlantique pourraient bien offrir de l’espoir aux militants britanniques.
Le danger juridique entourant la recherche légitime sur la sécurité aux États-Unis s’est considérablement atténué à la suite d’une décision de la Cour suprême des États-Unis en 2021 sur ce qui constitue un « accès non autorisé » en vertu de la loi sur la fraude et les abus informatiques et l’engagement récent du ministère de la Justice de ne pas poursuivre la sécurité de « bonne foi » rechercher.