MIS À JOUR Le ministère américain de la Justice (DoJ) a annoncé qu’il ne poursuivrait pas les chercheurs en sécurité qui agissent de «bonne foi» dans le cadre d’une révision historique de sa politique concernant les lois sur la criminalité informatique.
Dans une déclaration publié hier (19 mai), le DoJ a présenté les modifications apportées aux poursuites en vertu de la loi sur la fraude et les abus informatiques (CFAA) et la manière dont il pourrait répondre aux violations potentielles.
Le politique révisée (PDF) ordonne que le chercheur en sécurité de bonne foi ne soit pas inculpé, la première fois que de telles révisions ont été effectuées.
Selon le DoJ, la « recherche de sécurité de bonne foi » fait référence à une personne accédant à un ordinateur uniquement à des fins de test, d’enquête ou de correction de bonne foi d’une faille de sécurité ou d’une vulnérabilité.
Cette activité est réputée être de « bonne foi » si elle est menée de manière à éviter tout préjudice aux personnes ou au public, et lorsque les informations dérivées de l’activité sont utilisées principalement pour promouvoir la sécurité ou la sûreté de la classe des appareils, machines ou services en ligne auxquels appartient l’ordinateur consulté, ou ceux qui utilisent ces appareils, machines ou services en ligne.
A NE PAS MANQUER La Maison Blanche s’attaque aux défis de sécurité rencontrés par l’écosystème open source lors d’un sommet virtuel
« La recherche en sécurité informatique est un moteur clé de l’amélioration de la cybersécurité », a commenté la procureure générale adjointe Lisa Monaco.
« Le département n’a jamais été intéressé à poursuivre la recherche de bonne foi en sécurité informatique comme un crime, et l’annonce d’aujourd’hui promeut la cybersécurité en fournissant des éclaircissements aux chercheurs en sécurité de bonne foi qui éliminent les vulnérabilités pour le bien commun. »
Le DoJ a toutefois souligné que les changements n’équivalaient pas à un « laissez-passer gratuit pour ceux qui agissent de mauvaise foi ».
« Par exemple, découvrir des vulnérabilités dans des appareils afin d’extorquer leurs propriétaires, même si cela est revendiqué comme une » recherche « n’est pas de bonne foi », indique le communiqué.
« La politique conseille aux procureurs de consulter la Section de la criminalité informatique et de la propriété intellectuelle (CCIPS) de la Division criminelle sur les applications spécifiques de ce facteur. »
Changement d’heures
Les révisions précisent également que les violations hypothétiques de la CFAA ne sont pas suffisantes pour justifier une accusation.
Des exemples de ces situations incluent l’embellissement d’un profil de rencontre en ligne contraire aux conditions d’utilisation du site de rencontre ou l’utilisation d’un pseudonyme sur un site de réseautage social qui les interdit, a expliqué le DoJ.
TU POURRAIS AUSSI AIMER Le gouvernement britannique va revoir la loi vieillissante sur l’utilisation abusive des ordinateurs du pays – officiel