Les hackers White Hat vont respirer un peu mieux ce soir. Le ministère américain de la justice a annoncé nouvelles révisions de la politique à la loi sur la fraude et les abus informatiques (CFAA) indiquant « que la recherche de sécurité de bonne foi ne devrait pas être facturée ».
Cela signifie que les chercheurs en sécurité (c’est-à-dire les pirates informatiques) qui pénètrent dans les réseaux ou trouvent des exploits dans les logiciels et le matériel ne seront pas considérés comme des poursuites fédérales tant qu’ils agissaient de bonne foi pour promouvoir la sécurité et la sûreté des « appareils et services cibles ».
Voici ce que le DOJ définit comme une sécurité de bonne foi :
« La recherche de sécurité de bonne foi signifie accéder à un ordinateur uniquement à des fins de test, d’enquête et/ou de correction de bonne foi d’une faille de sécurité ou d’une vulnérabilité, lorsque cette activité est menée de manière à éviter tout préjudice aux personnes ou au public , et où les informations dérivées de l’activité sont utilisées principalement pour promouvoir la sécurité ou la sûreté de la classe d’appareils, de machines ou de services en ligne à laquelle appartient l’ordinateur consulté, ou ceux qui utilisent ces appareils, machines ou services en ligne. »
Il existe des exceptions à cette politique. Par exemple, un pirate informatique qui utilise les informations obtenues grâce à ses exploits pour extorquer une entreprise ou un utilisateur d’un appareil compromis peut être poursuivi. La fuite ou la vente de données acquises via une violation illégale des réseaux constitue également une violation de la loi Computer Fraud and Abuse Act.
« Le département n’a jamais été intéressé à poursuivre la recherche de bonne foi sur la sécurité informatique comme un crime. L’annonce d’aujourd’hui promeut la cybersécurité en fournissant des éclaircissements aux chercheurs en sécurité de bonne foi qui éliminent les vulnérabilités pour le bien commun », a déclaré la sous-procureure générale Lisa O. Monaco.
Des entreprises comme Microsoft, Oracle et même Soupape offrent des primes de bogue où ils paient des pirates pour pénétrer dans leur logiciel afin de renforcer la sécurité. En fait, il y a un grand événement de piratage en cours où ils ont transformé la chasse aux bogues en un sport de compétition pour de gros prix en argent.
Tous les procureurs fédéraux inculpant des affaires en vertu de la CFAA doivent suivre la nouvelle politique. Le DOJ a également expliqué que certaines activités en ligne couramment désapprouvées, comme embellir un profil de rencontre, vérifier les résultats sportifs au travail ou créer des comptes de brûleur, ne justifient pas des poursuites pénales. Phew.