Sécurité informatique et justice américaine : plus de poursuites pour les hackers de bonne foi !

Dans sa nouvelle politique d’inculpation, au regard de la loi portant sur la fraude et les abus informatiques, le Computer Fraud and Abuse Act – CFAA, le département américain de la justice a déclaré qu’il ne poursuivra plus les chercheurs en sécurité informatique pour piratage.

En d’autres termes, toute personne œuvrant dans le domaine du hacking typiquement de bonne foi ne seront plus victimes de poursuite judiciaire aux États-Unis. C’est d’ailleurs dans ce contexte que Lisa Monaco l’adjointe du procureur général des États-Unis déclarait : « la recherche informatique est un moteur essentiel de l’amélioration de la cyber sécurité et le ministère n’a jamais souhaité poursuivre la recherche en cyber sécurité menée de bonne foi en tant que crime ».

C’est certainement une bonne nouvelle pour les hackers éthiques. Cependant, à quel moment sommes-nous dans le cadre d’une recherche de sécurité informatique réalisée de bonne foi ?

Il faut d’abord situer le contexte. En effet la loi américaine portant sur la fraude et les abus informatiques a pour but de permettre aux procureurs de pouvoir s’attaquer à toutes infractions réalisées dans le domaine de l’informatique. Cependant c’est une première lorsque cette politique dispose que « les recherches en sécurité menées de bonne foi ne doivent pas être inculpées ».

L’expression de recherche en sécurité réalisée de bonne foi peut être appréhendée selon le ministère américain de la justice comme le fait d’accéder à un terminal informatique seulement dans le but de le tester, de le corriger ou de réaliser des informations portant sur la découverte d’une faille de sécurité. Cette pratique est jugée de bonne foi lorsqu’elle est réalisée dans le but d’empêcher que des personnes puissent subir des préjudices liés à ses failles de sécurité. Et cela concerne à la fois les personnes privées comme les personnes publiques. La définition inclut l’obligation du fait que les informations tirées par l’activité de l’individu soient susceptibles de promouvoir une meilleure sécurité à la fois du terminal informatique mais aussi des contenus de ce terminal, qu’ils soient en local ou en ligne.

Cette définition concerne aussi les personnes qui sont susceptibles d’être indexées comme ayant violé les conditions d’utilisation d’un site web.

Mais le défaut d’inculpation c’est toi aussi dans d’autres domaines. Effectivement, il ne sera plus poursuivi toute personne qui aurait embelli un profil de rencontre en ligne ou utiliser un ordinateur à caractère professionnel pour des usages personnels.

L’objectif de ces précisions survient dans un contexte où les usagers des services numériques craignaient que la loi sur la fraude informatique puisse être trop élargie dans son application touchant presque tout le monde. D’ailleurs, un arrêt de la Cour suprême américaine avait même mentionné que la manière des procureurs d’interpréter cette loi risquait de pousser à la criminalisation d’une « quantité stupéfiante d’activités informatiques courantes ».

A aussi précisé dans quel contexte, le département de la justice a promis de ne pas engager de poursuite. « Les chercheurs qui effectuent de bonne foi des tests, des enquêtes ou la correction d’une faille ou d’une vulnérabilité de sécurité ».

Ces règles vont prendre effet immédiat en remplacement de celle qui avait été publiée depuis 2014, comme lundi par le département de la justice américaine dans un récent communiqué de presse : « La politique clarifie le fait que les violations hypothétiques du CFAA qui ont préoccupé certains tribunaux et commentateurs ne doivent pas être inculpées ».

« Embellir un profil de rencontre en ligne contrairement aux conditions de service du site de rencontre ; créer des comptes fictifs sur des sites Web d’embauche, de logement ou de location ; utiliser un pseudonyme sur un site de réseau social qui les interdit ; vérifier les résultats sportifs au travail ; payer des factures au travail ; ou violer une restriction d’accès contenue dans une condition de service ne sont pas en soi suffisants pour justifier des accusations criminelles fédérales », souligne lors du communiqué, Lisa O. Monaco, procureure générale adjointe des États-Unis.

Selon cette dernière, cette nouvelle réglementation pourrait encourager l’établissement d’un environnement beaucoup plus sécuritaire.

« La recherche en matière de sécurité informatique est un élément clé de l’amélioration de la cyber sécurité. Le ministère n’a jamais voulu poursuivre en tant que crime les recherches de sécurité informatique menées de bonne foi, et l’annonce d’aujourd’hui favorise la cyber sécurité en apportant de la clarté aux chercheurs en sécurité de bonne foi qui recherchent les vulnérabilités pour le bien commun », a noté la procureure générale adjointe des États-Unis.

Accédez maintenant à un nombre illimité de mot de passe :