Vidéo: Constat informatique et recherche de preuves (Novembre 2024)
Un chercheur fouille dans Windows, découvre une faille (et un correctif) et reçoit 100 000 USD de Microsoft. Un autre, menacé de poursuites pour piratage informatique présumé, devient abattu et se suicide. Lors de la conférence Black Hat 2014, un panel de stars s'est penché sur les décisions difficiles que les chercheurs doivent prendre et sur les mines antipersonnel légales qui peuvent apparaître.
Marcia Hofmann, ancienne avocate principale à la Electronic Frontier Foundation, dirige actuellement un cabinet d'avocats spécialisé dans les domaines de la criminalité et de la sécurité informatiques et des sujets connexes. Kevin Bankston, également avocat de longue date à l'EFF, est le directeur des politiques de l'Open Technology Institute de la New America Foundation, un groupe consacré aux "réseaux, plates-formes et technologies de communication ouverts, axés sur les problèmes de surveillance Internet et de la censure." Le panel était dirigé par Trey Ford, stratège en sécurité mondiale chez Rapid7 et ancien directeur général de Black Hat.
Le panel a commencé par examiner cinq mines terrestres légales importantes susceptibles de poser de graves problèmes aux chercheurs. Ils ont admis que cette partie de la présentation pouvait sembler un peu sèche, mais ils ont encouragé les participants à tenir une discussion ouverte et complète.
Loi sur les fraudes et abus informatiques
"La CFAA est une loi du milieu des années 80, une époque différente", a déclaré Hoffman. "Sa principale interdiction semble simple. Il est illégal d'accéder intentionnellement à un ordinateur sans autorisation ou d'aller au-delà des autorisations existantes pour obtenir des informations. Mais il ne définit pas l'autorisation. Les tribunaux ont eu du mal à cela. Qu'est-ce qui rend l'accès non autorisé? Faut-il franchir une barrière? "Utiliser les moyens technologiques pour obtenir un accès d’une manière que le propriétaire n’anticipait pas?"
Hoffman a expliqué qu'une première violation est un délit pouvant aller jusqu'à un an de prison. Toutefois, un certain nombre de circonstances peuvent renforcer la violation d'un crime, notamment une intention de profit, des informations obtenues d'une valeur supérieure à 5 000 dollars et "la poursuite d'un autre acte illégal". Aaron Swartz envisageait de prononcer une condamnation pour crime, car le gouvernement avait déclaré que les articles scientifiques auxquels il avait accès valaient plus de 5 000 dollars.
Cela ne s'arrête pas là. "Vous pouvez être poursuivi en justice pour dommages et intérêts dans une affaire civile", a noté Hoffman. "Les juges considèrent les affaires civiles différemment, mais ces affaires peuvent constituer un précédent pour une affaire pénale." Elle a expliqué qu'une partie privée peut intenter une action en justice si ses pertes sont estimées à 5 000 dollars. "Une entreprise pourrait vous poursuivre en justice pour lui avoir parlé de vulnérabilité", a-t-elle poursuivi. "Ils pourraient appeler le coût de la réhabilitation une perte monétaire."
Loi sur le droit d'auteur du millénaire numérique
"Le DMCA est un cousin de la CFAA", a déclaré Bankston. "Son interdiction fondamentale est que personne ne doit contourner la protection d'une œuvre protégée par le droit d'auteur. Cela diffère de la violation du droit d'auteur. Si vous contournez la protection, même si vous ne faites rien de plus, vous êtes coupable."
"Le DMCA est effrayant, avec des pénalités encore plus sévères", a expliqué Hoffman. "Les victimes peuvent intenter une action en justice pour obtenir une libération par voie d'injonction (ce qui signifie que vous devez arrêter ce que vous faites), des dommages-intérêts pécuniaires réels ou légaux. Pour chaque violation, vous devrez payer de 200 à 2 500 dollars, à la discrétion du juge. violation, ou violation pour gain financier, vous pouvez être condamné à une amende pouvant aller jusqu’à un demi-million et purger une peine de cinq ans de prison, soit le double d’une infraction répétée. Vous pouvez vraiment vous faire jeter le livre sur vous."
Loi sur la protection des communications électroniques
"L'ECPA date de 1986 et c'est important", a déclaré Bankston. "L'ACLU l'utilise pour protéger la vie privée des citoyens. Mais sa portée est suffisamment large et vague pour causer des problèmes aux chercheurs. C'est trois mines en une." Il a ensuite détaillé l'écoute électronique, les communications stockées et les composants du "registre de plumes". Le troisième, "registre de plumes", fait référence à la collecte des numéros que vous appelez ou des numéros qui vous appellent. "Le propre manuel du ministère de la Justice indique que le suivi du téléphone de quelqu'un peut enfreindre cette loi", a déclaré Bankston, "leur politique est donc d'obtenir un mandat".
"Wiretap est le grand", a-t-il poursuivi. «C’est peut-être un crime, mais vous êtes également passible de poursuites civiles pour dommages-intérêts tant réels que légaux. Vous pouvez être condamné à une amende de 100 USD par jour par personne touchée ou de 10 000 USD par personne, selon le montant le plus élevé. Rappelez-vous le moment où Batman a ouvert le microphones sur tous les téléphones portables de Gotham City? Même Bruce Wayne pourrait ne pas être en mesure de payer des milliards de dollars en amendes."
Allons-nous jouer à un jeu?
Après avoir passé en revue les détails juridiques, certes bien sèches, le panneau passa au format de jeu télévisé. Pas vraiment! Une grande grille projetant à l’écran un certain nombre de composants possibles d’un événement de sécurité était projetée: l’acteur, l’activité, la cible, le motif et un joker. Cette dernière catégorie comprenait des éléments tels que "la victime n’a pas de dommages-intérêts financiers" et "ressemble à un pirate informatique!"
En utilisant des nombres aléatoires pour sélectionner des éléments de chaque catégorie, ils ont créé des scénarios. Par exemple, "un chercheur universitaire en sécurité accède au courrier électronique de son employeur actuel pour mener des recherches sur la sécurité, sans gain monétaire". Est-ce une recherche légitime ou est-ce un crime? Les panélistes ont invité le public à se demander quelle statue aurait pu être violée et quelles pourraient en être les conséquences. Quelle belle façon de donner vie à ces lois! Le public était définitivement engagé.
Comment pouvons-nous régler ceci?
Il semble clair que de nombreuses actions menées par les chercheurs en sécurité pourraient les mettre en difficulté. Comment pouvons-nous corriger les lois? "Les entreprises peuvent faire des choses pour atténuer le froid", a déclaré Hoffman. "Microsoft, Google et d’autres ont des programmes d’amnistie. Ils veulent connaître les vulnérabilités et s’efforcent donc de désamorcer les inquiétudes suscitées par une lecture agressive de la loi."
Elle a souligné la "loi d'Aaron", une proposition de modification de la CAFA introduite par la représentante de la Californie, Zoe Lofgren. "La loi d'Aaron améliorerait la CFAA en expliquant clairement ce que l'on entend par accès non autorisé." "La loi d'Aaron éviterait les doubles et quadruples charges qui peuvent survenir dans le cadre de la CAFA en vigueur", a noté Bankston. "Mais nous pouvons faire plus. Tout comme nous avons des améliorations de félonie pour mauvaise foi, nous pourrions peut-être ajouter des" désaméliorations "aux chercheurs travaillant de bonne foi. Peut-être pourrions-nous supprimer les dommages-intérêts légaux."
Les participants ont quitté la séance avec une bien meilleure idée de ce qui est actuellement illégal et de ce que la loi devrait changer. Et je me demandais… combien de présentateurs de Black Hat sont techniquement des criminels, rien que pour les recherches qu'ils présentent?
