Ce mois-ci, le Mexique a adopté une nouvelle loi expansive sur le droit d'auteur sans débat ni consultation adéquats, et en conséquence, il a adopté une règle nationale qui est absolument impropre à son objectif, avec de graves implications pour les droits de l'homme et la cybersécurité.
La nouvelle loi a été adoptée dans le cadre des obligations du pays en vertu de l'accord États-Unis-Mexique-Canada de Donald Trump (USMCA), et elle importe le système de droit d'auteur américain en gros, puis efface les faibles garanties des États-Unis pour les droits fondamentaux.
Au cœur de la question de la cybersécurité se trouve l'article 114 Bis, qui établit un nouveau type de protection pour les «mesures de protection technique» (TPM), y compris les technologies des titulaires de droits communément appelées gestion des droits numériques (DRM), mais il comprend également le cryptage de base et d'autres mesures de sécurité. qui empêchent l'accès aux logiciels protégés par le droit d'auteur. Ce sont les verrous familiers et redoutés qui vous empêchent de remplir la cartouche d'encre de votre imprimante, d'utiliser un App Store non officiel avec votre téléphone ou votre console de jeu, ou de regarder un DVD d'outre-mer dans votre lecteur DVD domestique. Parfois, il existe un objectif de sécurité légitime à restreindre la possibilité de modifier le logiciel d'un appareil, mais lorsque vous n'êtes pas autorisé à le faire en tant que propriétaire de l'appareil, de graves problèmes surviennent et vous devenez moins en mesure d'assurer la sécurité de votre appareil.
Dans le système américain, il est illégal de contourner ces TPM lorsqu'ils contrôlent l'accès à une œuvre protégée par le droit d'auteur, même en l'absence de violation du droit d'auteur. Si vous devez supprimer un TPM pour modifier votre imprimante pour accepter l'encre tierce ou votre voiture pour accepter une nouvelle pièce de moteur, vous ne violez pas les droits d'auteur , mais vous enfreignez toujours cette extension de la loi sur les droits d'auteur.
Sans surprise, les fabricants ont adopté les TPM de manière agressive car ils leur permettent de contrôler à la fois leurs clients et leurs concurrents. Une entreprise dont le téléphone ou la console de jeu est verrouillé sur un seul App Store officiel peut monopoliser le marché des logiciels pour ses produits, en récupérant un pourcentage de chaque application vendue à chaque propriétaire de cet appareil.
Les clients ne peuvent pas légalement supprimer le TPM pour utiliser une boutique d'applications tierce, et les concurrents ne peuvent pas leur offrir les outils pour déverrouiller leurs appareils. Le «trafic» de ces outils est un crime aux États-Unis, passible d'une peine de cinq ans de prison et d'une amende de 500 000 dollars.
Mais la tentation d'utiliser un TPM ne se limite pas au contrôle des clients et des concurrents: les entreprises qui utilisent des TPM peuvent également décider qui peut révéler les défauts de leurs produits.
Les programmes informatiques ont inévitablement des bogues, et certains de ces bogues présentent de terribles risques de cybersécurité. Les défauts de sécurité permettent aux pirates de prendre le contrôle à distance de votre voiture et de la conduire hors de la route , de modifier le décompte des bulletins de vote lors des élections , de diriger sans fil vos implants médicaux pour vous tuer ou de traquer et de terroriser les gens .
La seule façon fiable de découvrir ces défauts avant de pouvoir être militarisés est de soumettre les produits et les systèmes à un examen indépendant. Comme le dit le célèbre expert en sécurité Bruce Schneier, «N'importe qui peut concevoir un système de sécurité qui fonctionne si bien qu'il ne peut pas trouver un moyen de le vaincre. Cela ne veut pas dire que cela fonctionne, cela signifie simplement qu'il fonctionne contre des gens plus stupides qu'eux. . "
Une recherche indépendante sur la sécurité est incompatible avec les lois protégeant les TPM. Pour enquêter sur les systèmes et signaler leurs défauts, les chercheurs en sécurité doivent être libres de contourner les TPM, d'extraire le logiciel de l'appareil et de le soumettre à des tests et à des analyses.
Lorsque les chercheurs de sécurité ne découvrent des défauts, il est courant pour les entreprises de nier qu'elles existent ou qu'elles sont importantes, la peinture de la question comme « dit – il / elle a dit » différend.
Mais ces litiges ont une solution simple: les chercheurs en sécurité publient régulièrement un code de «preuve de concept» qui permet à quiconque de vérifier indépendamment leurs résultats. Il s’agit d’une pratique scientifique simple: depuis les Lumières, les scientifiques ont publié leurs découvertes et invité d’autres à les reproduire, un processus qui est au cœur de la méthode scientifique.
L'article 1201 du Digital Millennium Copyright Act des États-Unis (DMCA 1201) définit un processus de résolution des différends entre les TPM et les droits humains fondamentaux. Tous les trois ans, le US Copyright Office entend les pétitions de personnes dont les droits fondamentaux ont été compromis par la loi TPM et leur accorde des exemptions.
Le gouvernement américain a reconnu à plusieurs reprises que les TPM interfèrent avec la recherche sur la sécurité et a accordé des exemptions explicites à la règle TPM pour la recherche sur la sécurité. Ces exemptions sont faibles (la loi américaine ne donne pas au Copyright Office le pouvoir d'autoriser les chercheurs en sécurité à publier un code de preuve de concept), mais elle fournit toujours une garantie indispensable aux chercheurs qui tentent de nous avertir que nous sommes en danger à cause de notre dispositifs. Quand de puissantes sociétés menacent les chercheurs en sécurité pour tenter de les faire taire, les exemptions du Copyright Office peuvent leur donner le courage de publier de toute façon, nous protégeant tous.
Le processus d'exemption des États-Unis est faible et inadéquat. La version mexicaine de ce processus est encore plus faible, et encore plus inadéquate (la loi ne prend même pas la peine de définir son fonctionnement et suggère simplement qu'un processus sera créé à l'avenir).
L'article 114 Quater (I) de la loi mexicaine contient une vague offre de protection pour la recherche en matière de sécurité, semblable à une assurance tout aussi vague dans le DMCA. Le DMCA est une loi américaine depuis 22 ans, et pendant tout ce temps, personne n'a jamais utilisé cette clause pour se défendre.
Pour comprendre pourquoi, il est utile d'examiner le texte de la loi mexicaine. En vertu de la loi mexicaine, les chercheurs en sécurité ne sont protégés que si leur «seul but» est «de tester, d'enquêter ou de corriger la sécurité de cet ordinateur, système informatique ou réseau». Il est rare qu'un chercheur en sécurité n'ait qu'un seul but: il veut fournir les connaissances qu'il glanent aux parties nécessaires afin que les failles de sécurité ne nuisent à aucun des utilisateurs de technologies similaires. Ils peuvent également vouloir protéger la confidentialité et l'autonomie des utilisateurs d'un ordinateur, d'un système ou d'un réseau d'une manière qui est en contradiction avec ce que le fabricant considérerait comme la sécurité de l'appareil.
De même, la loi mexicaine exige que les chercheurs en sécurité agissent de «bonne foi», ce qui crée un risque non quantifiable. Les chercheurs sont souvent en désaccord avec les fabricants sur la manière appropriée d'enquêter et de divulguer les failles de sécurité. La disposition législative vague sur les tests de sécurité aux États-Unis était beaucoup trop peu fiable pour favoriser avec succès des recherches essentielles sur la sécurité, ce que même le US Copyright Office a maintenant reconnu à maintes reprises.
L'essentiel: nos appareils ne peuvent pas être rendus plus sécurisés s'il est interdit aux chercheurs indépendants de les auditer. La loi mexicaine découragera cette activité. Cela rendra les Mexicains moins sûrs.
La cybersécurité est intimement liée aux droits de l'homme. Les machines à voter non sécurisées peuvent compromettre les élections, et même lorsqu'elles ne sont pas piratées, la présence d'insécurité prive les élections de leur légitimité, conduisant au chaos civique.
Des groupes de la société civile engagés dans des activités politiques démocratiques à travers le monde ont été attaqués par des logiciels malveillants commerciaux qui utilisent des défauts de sécurité pour envahir leurs appareils, les soumettant à une surveillance illégale, des enlèvements, des tortures et même des meurtres.
L'un de ces produits, le logiciel malveillant Pegasus du groupe NSO, a été impliqué dans le meurtre de Jamal Khashoggi . Ce même outil a été utilisé pour cibler les journalistes d'investigation mexicains , les défenseurs des droits de l'homme et même les enfants mexicains dont les parents étaient des journalistes d'investigation .
Les défauts de nos appareils nous exposent à une surveillance à motivation politique, mais ils nous exposent également à des risques de la part des criminels organisés, par exemple, les «stalkerware» peuvent permettre aux trafiquants d'êtres humains de surveiller leurs victimes.
Les droits numériques sont des droits humains. Sans la capacité de sécuriser nos appareils, nous ne pouvons pas profiter pleinement de notre vie familière, civique, politique ou sociale.
Si vous êtes basé au Mexique, nous vous exhortons à participer à la campagne de R3D « Ni Censura ni Candados » et à envoyer une lettre à la Commission nationale mexicaine des droits de l'homme pour lui demander d'invalider cette nouvelle loi sur le droit d'auteur défectueuse. R3D vous demandera votre nom, votre adresse e-mail et votre commentaire, qui seront soumis à la politique de confidentialité de R3D.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2020/07/mexicos-new-copyright-law-cybersecurity-and-human-rights le Wed, 29 Jul 2020 18:47:30 +0000.