Le Computer Fraud and Abuse Act (CFAA), la loi anti-piratage notoirement vague, attend depuis longtemps une réforme majeure. Parmi de nombreux problèmes, le CFAA a été utilisé pour cibler les chercheurs en sécurité dont le travail de découverte de vulnérabilités logicielles irrite fréquemment les entreprises (et les avocats américains). Le ministère de la Justice (DOJ) a annoncé aujourd'hui une nouvelle politique en vertu de laquelle il n'engagera pas de poursuites de la CFAA contre les personnes engagées "uniquement" dans des recherches de "bonne foi" sur la sécurité.
C'est un pas en avant important que le DOJ reconnaisse la contribution inestimable de la recherche sur la sécurité dans le renforcement de la sécurité des applications de messagerie et de médias sociaux, des systèmes financiers et d'autres systèmes numériques utilisés par des centaines de millions de personnes chaque jour. Mais sa nouvelle politique, qui n'est qu'un accord pour que le DOJ fasse preuve de retenue, est loin de protéger les chercheurs en sécurité contre les menaces excessives de zèle, les poursuites et les peines de prison disproportionnellement sévères de la CFAA. Nous avons encore besoin d'une réforme législative complète pour remédier aux méfaits de cette loi dangereuse.
En partie, le changement de politique du DOJ est forcé par la décision de la Cour suprême de l'année dernière dans l'affaire Van Buren c. États-Unis , qui a clarifié le sens de « dépassement de l'accès autorisé » en vertu de la CFAA. La loi érige en infraction "l'accès intentionnel[] à un ordinateur sans autorisation ou le dépassement[] de l'accès autorisé, et ainsi obtenir[] . . . informations à partir de n'importe quel ordinateur protégé », mais ne définit pas ce que signifie l'autorisation. Auparavant, la loi avait été interprétée pour permettre des poursuites pénales contre des individus pour violation des conditions d'utilisation d'un site Web ou de la politique d'utilisation des ordinateurs d'un employeur, entraînant des accusations criminelles qui n'ont rien à voir avec le piratage. Dans Van Buren , la Cour suprême a réduit cette interprétation, estimant que le défendeur n'avait pas « outrepassé l'accès autorisé » lorsqu'il avait obtenu des informations qu'il avait le droit de rechercher à des fins professionnelles, mais avait utilisé ces informations pour d'autres activités non approuvées.
La nouvelle politique du DOJ adopte cette interprétation – comme il se doit – mais, comme la Cour suprême, elle s'arrête loin d'exiger qu'un défendeur annule une restriction technologique afin de dépasser l'accès autorisé. Cela ferait plus pour protéger les chercheurs en sécurité, les journalistes et les autres personnes dont le travail nécessite d'accéder à des ordinateurs d'une manière qui contrevient aux conditions de service ou à la volonté du propriétaire de l'ordinateur.
Au lieu de cette ligne claire, la nouvelle politique énumère explicitement des scénarios dans lesquels des politiques écrites peuvent donner lieu à une accusation criminelle de CFAA, par exemple lorsqu'un employé viole un contrat qui met certains fichiers hors limites dans toutes les situations, ou lorsqu'un étranger reçoit un arrêt. -and-desist (C&Ds) les informant que leur accès n'est plus autorisé. Nous avons vu des entreprises comme Facebook et LinkedIn abuser du CFAA exactement de cette manière – en envoyant des C&D à des chercheurs et des journalistes dont ils n'aiment pas l'accès. Quel que soit le mérite de ces différends privés, il est inacceptable de donner à ces entreprises technologiques le pouvoir discrétionnaire de transformer leurs adversaires beaucoup moins puissants en criminels fédéraux potentiels.
La nouvelle politique du DOJ promet également plus qu'elle ne livre dans son exemption de poursuites pour la recherche en matière de sécurité. Il limite l'exemption à la recherche menée "uniquement" de "bonne foi", ce qui pourrait laisser de côté une grande partie de la façon dont la recherche sur la sécurité se déroule dans le monde réel. Ce mot "uniquement" laisse ouverte à l'interprétation si les pirates qui découvrent et divulguent une vulnérabilité ainsi qu'il peut être réparé mais aussi être payé, parler lors d'une conférence sur la sécurité comme DEF CON, ou avoir d'autres motivations secondaires, peut toujours être poursuivi.
En outre, la politique adopte la définition de « recherche de sécurité de bonne foi » proposée par le Bureau du droit d'auteur dans sa réglementation triennale sur l'article 1201 du Digital Millennium Copyright Act (DMCA), qui prétend fournir une exemption pour les tests de sécurité de bonne foi, y compris l'utilisation moyens technologiques. Mais cette exemption est à la fois trop étroite et trop vague. Le DMCA interdit de fournir au public des technologies, des outils ou des services qui contournent les mesures de protection technologiques pour accéder à des logiciels protégés par le droit d'auteur sans l'autorisation du propriétaire du logiciel. Pour éviter de violer le DMCA, tous les outils utilisés doivent être dans le « seul objectif » de test de sécurité, avec des limitations supplémentaires interprétées à la discrétion du gouvernement.
Comme le langage du DMCA, la politique du DOJ ne fournit pas de dispositions concrètes et détaillées pour empêcher que le CFAA ne soit utilisé à mauvais escient pour poursuivre des activités en ligne bénéfiques et importantes. Le CFAA devrait protéger les chercheurs en sécurité et les inciter à poursuivre leur travail vital. Les chercheurs en sécurité ne devraient pas avoir à craindre que leur travail nous protégeant tous contre les failles des systèmes informatiques dans les voitures, les systèmes de vote électronique et les appareils médicaux comme les pompes à insuline et les stimulateurs cardiaques, les mène en prison. La politique du DOJ ne va tout simplement pas assez loin pour empêcher cela.
En tant que politique de l'agence, les nouvelles règles du DOJ ne lient pas les tribunaux et peuvent être annulées à tout moment, par exemple par une future administration. Et cela ne fait rien pour réduire le risque de poursuites civiles frivoles ou trop larges de la CFAA contre des chercheurs en sécurité, des journalistes et des innovateurs. Il ne traite pas non plus les menaces posées par les lois anti-piratage des États, dont certaines sont encore plus larges que la CFAA elle-même. La politique est un bon début, mais elle ne remplace pas une réforme complète de la CFAA, que ce soit par le Congrès ou par les tribunaux dans la poursuite du travail de Van Buren pour réduire sa portée.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2022/05/dojs-new-cfaa-policy-good-start-does-not-go-far-enough-protect-security le Thu, 19 May 2022 21:32:56 +0000.