Quand les lois américaines scellent l'avenir des experts en sécurité

La loi CFAA freinerait la traque et la découverte des failles de sécurité

Entériné en 1986 pour sanctionner juridiquement les cybercriminels, le projet de loi américaine CFAA (Computer Fraud and Abuse Act) est de plus en plus décrié par les experts en sécurité. En cause : le flou entourant la loi en matière d’abus informatiques et la non-distinction entre les chercheurs en sécurité qui traquent les failles et les cybercriminels. Pire encore, de nombreux experts en sécurité tirent la sonnette d’alarme, car pour eux, la CFAA freine la recherche et par la même occasion menace des emplois.

C’est le cas par exemple de HD Moore, créateur de l’outil Metasploit et directeur de recherche pour le consultant Rapid7, qui déclare être poursuivi par le département de la justice américaine suite au lancement de son projet Critical.I.O (projet qui permet de détecter des failles largement répandues sur Internet en recourant à des robots informatiques) en dépit d’avoir découvert des faiblesses dans le protocole UPnP (Universal Plug and Play) de plus de 40 à 50 millions de réseaux informatiques.

D’autres comme Jeremiah Grossman, directeur d’une firme de sécurité s’exprime en ces termes lorsqu’il s’agit de la CFAA et des juristes : « actuellement, ils détruisent des carrières, car ils ne prennent pas en compte l’intention », alors que Zach Lanier, expert en sécurité chez Duo Security affirme que « certaines organisations recourant de manière agressive à la CFAA lorsque des vulnérabilités sont rapportées n’ont en tête que les dollars récoltés suite à une poursuite judiciaire ». Une situation que lui-même a dû affronter après avoir découvert des vulnérabilités dans les produits d’un manufacturier.

Face à cette situation, certains experts espèrent que la CFAA sera enfin amendée par la loi Aaron qui remet en question l’application extrême des peines juridiques. La loi tire son nom de l’activiste Aaron Swartz qui s’est suicidé en 2013, après avoir encouru plus de 30 ans de prison pour un acte mineur : le téléchargement sans autorisation d’un document sur la plateforme Jstor à partir des serveurs du MIT.

Alors qu’au même moment, certains parlementaires souhaiteraient revoir à la hausse les peines encourues dans le cadre du CFAA pour répondre à la récente hausse de la cybercriminalité.

Au final, cette situation incongrue pour les chercheurs en sécurité ne risque pas d’évoluer dans le bon sens vu le climat actuel. L’une des solutions pourrait venir d’un amendement de la loi Aaron. Dans le cas contraire, leurs carrières seraient menacées encore plus.

Source : The Guardian.com

Et vous ?

Selon vous le CFAA menace-t-il l’avenir de la sécurité informatique ?

Quelle solution pourriez-vous envisager ?