Discussion :

[Arsene Newman]

Quand la loi américaine scelle l’avenir des experts en sécurité
le computer fraud and abuse act freinerait la traque et la découverte des failles de sécurité

Entériné en 1986 pour sanctionner juridiquement les cybercriminels, le projet de loi américaine CFAA (Computer Fraud and Abuse Act) est de plus en plus décrié par les experts en sécurité. En cause : le flou entourant la loi en matière d’abus informatiques et la non-distinction entre les chercheurs en sécurité qui traquent les failles et les cybercriminels. Pire encore, de nombreux experts en sécurité tirent la sonnette d’alarme, car pour eux, la CFAA freine la recherche et par la même occasion menace des emplois.

C’est le cas par exemple de HD Moore, créateur de l’outil Metasploit et directeur de recherche pour le consultant Rapid7, qui déclare être poursuivi par le département de la justice américaine suite au lancement de son projet Critical.I.O (projet qui permet de détecter des failles largement répandues sur Internet en recourant à des robots informatiques) en dépit d’avoir découvert des faiblesses dans le protocole UPnP (Universal Plug and Play) de plus de 40 à 50 millions de réseaux informatiques.

D’autres comme Jeremiah Grossman, directeur d’une firme de sécurité s’exprime en ces termes lorsqu’il s’agit de la CFAA et des juristes : « actuellement, ils détruisent des carrières, car ils ne prennent pas en compte l’intention », alors que Zach Lanier, expert en sécurité chez Duo Security affirme que « certaines organisations recourant de manière agressive à la CFAA lorsque des vulnérabilités sont rapportées n’ont en tête que les dollars récoltés suite à une poursuite judiciaire ». Une situation que lui-même a dû affronter après avoir découvert des vulnérabilités dans les produits d’un manufacturier.

Face à cette situation, certains experts espèrent que la CFAA sera enfin amendée par la loi Aaron qui remet en question l’application extrême des peines juridiques. La loi tire son nom de l’activiste Aaron Swartz qui s’est suicidé en 2013, après avoir encouru plus de 30 ans de prison pour un acte mineur : le téléchargement sans autorisation d’un document sur la plateforme Jstor à partir des serveurs du MIT.

Alors qu’au même moment, certains parlementaires souhaiteraient revoir à la hausse les peines encourues dans le cadre du CFAA pour répondre à la récente hausse de la cybercriminalité.

Au final, cette situation incongrue pour les chercheurs en sécurité ne risque pas d’évoluer dans le bon sens vu le climat actuel. L’une des solutions pourrait venir d’un amendement de la loi Aaron. Dans le cas contraire, leurs carrières seraient menacées encore plus.

Source : The Guardian.com

Et vous ?

Selon vous le CFAA menace-t-il l’avenir de la sécurité informatique ?

Quelle solution pourriez-vous envisager ?

[marc.collin]

elle menace la sécurité informatique aux États-Unis.

Ceux qui veulement continuer peuvent toujours quitter le terriroire et poursuivre leur carrièere

[marsupial]

Quand la loi américaine scelle l’avenir des experts en sécurité
le computer fraud and abuse act freinerait la traque et la découverte des failles de sécurité


Au final, cette situation incongrue pour les chercheurs en sécurité ne risque pas d’évoluer dans le bon sens vu le climat actuel. L’une des solutions pourrait venir d’un amendement de la loi Aaron. Dans le cas contraire, leurs carrières seraient menacées encore plus.

Source : The Guardian.com

Et vous ?

Selon vous le CFAA menace-t-il l’avenir de la sécurité informatique ?

Quelle solution pourriez-vous envisager ?

En préambule, la sécurité est l'affaire de tous à tout niveau.

Sans faire de procés d'intention, les seuls qui ont le droit d'ouvrir du code aux Etats-Unis sont les services.

A partir de ce constat, deux points :

- ne plus faire confiance aux logiciels propriétaires
- se tourner vers du code ouvert



Sous peine de remettre le couvert pour un nouveau PRISM et perdre la bataille des libertés individuelles et collectives.

Pour ma part, il s'agit de la meilleure solution à adopter répondant au besoin de pérennité et mettre fin à la cyberguerre.


Félicitations :

Actions de nature à développer la demande de cloud computing en France :
- Label « Secure Cloud »
- Exemplarité de l’Etat, Appstore pour les collectivités locales et modernisation de l’action publique, CIO de l’Etat
- Neutralité/ Priorité Cloud dans les marchés publics
- Accélération de la transformation numérique des entreprises
- Cloud personnel

Actions pour le développement de l’offre de cloud computing en France :
- Espace de confiance européen
- Attractivité de la France pour les datacenters (offres IaaS)
- « Plate-forme Tremplin » mutualisée pour accompagner la transition vers le cloud des éditeurs de logiciels (offres SaaS et PaaS)
- Soutenir l’innovation dans le Cloud au service des usages (éducation, santé, seniors, ville connectée, tourisme…)
- Observatoire du Cloud
- Formations, attractivité pour les talents et organisation de la filière cloud

[Shuty]

L'affaire Aaron Swartz est un bon exemple selon moi... Il faudrait comme dit, prendre en compte les intentions...

[narutobaka]

Bonjour,

uhm ca sent la main de la NSA derriere tout ca.
Ceci afin d'éviter que des chercheurs en sécurité mettent en evidence leur tambouille informatique.

++