Le ministère américain de la Justice a annoncé jeudi qu’il ne porterait pas d’accusations en vertu des lois fédérales sur le piratage contre les chercheurs en sécurité et les pirates qui agissent de bonne foi.
La politique pour la première fois “ordonne que la recherche de sécurité de bonne foi ne soit pas inculpée” en vertu de la loi sur la fraude et les abus informatiques (CFAA), un changement radical par rapport à sa politique précédente qui permettait aux procureurs de porter des accusations fédérales contre les pirates qui trouvent la sécurité failles dans le but d’aider à sécuriser les systèmes exposés ou vulnérables.
Le ministère de la Justice a déclaré que les chercheurs de bonne foi sont ceux qui exercent leur activité “d’une manière conçue pour éviter tout préjudice aux individus ou au public”, et où l’information est “utilisée principalement pour promouvoir la sécurité ou la sûreté de la classe de appareils, machines ou services en ligne auxquels appartient l’ordinateur auquel l’accès a été effectué, ou ceux qui utilisent ces appareils, machines ou services en ligne ».
La Computer Fraud and Abuse Act, ou CFAA, a été promulguée en 1986 et est antérieure à l’Internet moderne. La loi fédérale dicte ce qui constitue le piratage informatique – en particulier l’accès “non autorisé” à un système informatique – au niveau fédéral. Mais la CFAA a longtemps été critiquée pour son langage obsolète et vague qui ne fait pas grand-chose pour différencier les chercheurs de bonne foi des pirates et des acteurs malveillants qui cherchent à extorquer des entreprises ou des individus ou à causer des dommages d’une autre manière.
L’année dernière, la Cour suprême a examiné pour la première fois la CFAA depuis l’entrée en vigueur de la loi et, pour la première fois, a déterminé précisément ce que la lecture de la CFAA de l’accès “non autorisé” signifie en vertu de la loi et a ensuite limité sa portée, éliminant ainsi une classe entière de scénarios hypothétiques – comme la violation de la politique de confidentialité d’un service Web, la vérification des résultats sportifs à partir d’un ordinateur de travail et, plus récemment, le grattage de pages Web publiques – dans le cadre desquels les procureurs fédéraux auraient pu porter des accusations.
Maintenant, le ministère de la Justice exclut, bien qu’un an après la décision du tribunal, de porter des accusations fédérales pour ce type de scénarios et de se concentrer plutôt sur les cas où des acteurs malveillants s’introduisent délibérément dans un système informatique.
Le changement de politique n’est pas une solution législative et pourrait, tout comme le ministère de la Justice l’a fait aujourd’hui, changer à l’avenir. Il ne protège pas non plus les pirates de bonne foi – ou toute autre personne accusée de piratage – des lois étatiques sur le piratage informatique.
Dans un communiqué, la sous-procureure générale américaine Lisa O. Monaco a déclaré :
Le département n’a jamais été intéressé à poursuivre la recherche de bonne foi en sécurité informatique comme un crime, et l’annonce d’aujourd’hui promeut la cybersécurité en fournissant des éclaircissements aux chercheurs en sécurité de bonne foi qui éliminent les vulnérabilités pour le bien commun.
Certains critiques pourraient ne pas accepter si volontiers cette affirmation après la mort d’Aaron Swartz, décédé par suicide en 2013 après avoir été accusé en vertu de la CFAA d’avoir téléchargé 4,8 millions d’articles et de documents du service d’abonnement universitaire JSTOR. Bien que JSTOR ait refusé de poursuivre l’affaire, les procureurs fédéraux ont quand même porté des accusations l’accusant de vol.
Depuis la mort de Swartz, les militants et les législateurs ont poussé la « loi d’Aaron » à réformer et à codifier les modifications apportées à la loi CFAA afin de mieux protéger les pirates de bonne foi.