USA : est-ce que partager ses identifiants constitue un crime ? Cela pourrait le devenir,
suite à une décision de justice d'une Cour d'appel
David Nosal était un directeur régional de Korn/Ferry International, une entreprise américaine basée à Los Angeles qui est spécialisée dans le recrutement de cadres dirigeants et dans les services associés. En 2004, après avoir manqué une promotion, Nosal a indiqué son intention de quitter le cabinet. Après moult négociations, un accord a été trouvé : il prévoyait que Nosal reste encore une année supplémentaire comme entrepreneur afin de finaliser une poignée de recrutements sujets à des réserves de non-concurrence. Comme il l’a expliqué, le cabinet lui donnait « beaucoup d’argent » pour « rester en dehors du marché ».
Pendant cette période intérimaire, Nosal s’employait à mettre sur pieds sa propre entreprise de recrutement en secret avec l’aide d’autres employés du cabinet Korn/Ferry International notamment les dénommés Christian, Jacobson et FH. Le 8 décembre 2004, le cabinet a révoqué l’accès de Nosal aux ordinateurs de sa structure, mais lui permettait tout de même de demander de l’assistance à ses employés afin de mener à bien la mission qui lui était confiée.
En janvier 2005, Christian a quitté Korn/Ferry International et, conformément aux instructions de Nosal, a mis sur pieds le cabinet Christian & Associates, un cabinet de recherche de cadres pour lequel Nosal supportait 80 % des frais. Quelques mois plus tard, Jacobson a suivi. Lorsque Nosal, Christian et Jacobson ont commencé à travailler pour des clients, Nosal s’est servi du pseudonyme « David Nelson » afin de masquer son identité lorsqu’il procédait aux entretiens des candidats.
Mais la startup ne disposait pas d’un atout clé du cabinet Korn/Ferry : « Searcher », une base de données interne qui contenait des informations sur plus d’un million de cadres parmi lesquelles leurs contacts, leur historique d’emploi, leurs salaires et des biographies qui ont été compilées sur plus de 20 ans. Searcher se trouve au coeur de l’activité de Korn/Ferry. Lors du lancement d'une nouvelle recherche répondant à un poste de cadre proposé par une entreprise, les équipes de Korn/Ferry commencent par compiler une sorte de « liste source » de candidats potentiels. Dans l’élaboration de cette liste, les employés vont lancer des requêtes dans Searcher pour générer une première liste de candidats. Et, pour accélérer le processus, les employés peuvent jeter un oeil dans les anciennes listes sources dans Searcher pour voir comment une recherche pour une position similaire a été construite ou alors tout simplement pour identifier plus vite les candidats potentiels. Il faut dire que la liste source proposée par Searcher débouche sur une centaine de noms qui devait alors passer par un autre filtre pour être réduite avant d’être envoyée au client. Korn/Ferry International considère ces listes sources comme étant propriétaires.
juge Stephen Reinhardt
Les données de Searcher proviennent de sources publiques et quasi publiques comme LinkedIn, les dépôts des entreprises et recherches internet. Ses données proviennent également de sources internes et non publiques comme les connexions personnelles, les CV non sollicités qui ont été envoyés à Korn/Ferry, les données entrées directement par des utilisateurs depuis le portail web du cabinet. Les index étaient répartis dès que les données étaient rentrées dans la base afin que les employés soient en mesure d’effectuer des recherches avec des critères comme l’âge, le champ d’expertise, l’expérience et bien d’autres critères. Cependant, lorsque l’information intégrait le système Searcher, elle était intégrée aux autres données et il n’y avait aucun moyen d’identifier la source de provenance de telle ou telle donnée.
Searcher est hébergé sur le réseau de l’entreprise et est considéré comme étant confidentiel ; son utilisation est circonscrite aux activités de Korn/Ferry : le cabinet donne à ses employés un nom d’utilisateur unique et un mot de passe pour accéder à son système. Aucun autre mot de passe n’était requis pour accéder à Searcher. Le partage de mots de passe était interdit par un accord de confidentialité que le cabinet faisait signer à chaque nouvel employé. Lorsqu’un utilisateur demandait un rapport personnalisé à Searcher, Searcher affichait un message qui disait : « ce produit est destiné à être utilisé par des employés de Korn/Ferry exclusivement pour les affaires de Korn/Ferry ».
Aussi, Nosal et ses compères ont entrepris de télécharger des informations et des listes sources pour préparer leur startup. Avant de quitter l’entreprise, ils se sont servis de leurs identifiants pour compiler les données propriétaires de Korn/Ferry.
Après que Nosal est devenu un entrepreneur et que Christian et Jacobson ont quitté Korn/Ferry, leurs identifiants ont été révoqués. Pourtant, à trois reprises, ils ont emprunté les identifiants de FH, qui était resté à Korn/Ferry à la demande de Nosal. En avril 2005, Nosal a demandé à Christian de lui obtenir des listes sources de Searcher afin de les expédier à un client. Pensant qu’il serait difficile d’expliquer la requête à FH, Christian a demandé à lui emprunter ses identifiants qu’il a alors utilisés pour avoir accès à Searcher et envoyer les résultats à Nosal. Opération qu’il a répétée en juillet 2005 deux fois de suite.
En mars 2005, Korn/Ferry a reçu un courriel lui indiquant que Nosal développait une affaire en violation des accords de non-concurrence qu’il avait signés. L’entreprise a alors mené son enquête et s’est saisie des autorités en juillet 2005.
juge Margaret McKeown
Mercredi dernier, la Cour d’appel des États-Unis pour le neuvième circuit a estimé que le partage des mots de passe peut être une violation du Computer Fraud and Abuse Act (CFAA) qui est venu en complément à la loi de fraude informatique existante. Entre autres choses, cette loi rend illégal le fait d'accéder intentionnellement à un ordinateur sans autorisation ou au-delà de l'autorisation.
Pour les défenseurs des libertés civiles, cette décision est un scénario catastrophe dans la mesure où une interprétation si large de la CFAA signifie que des millions d’Américains violent cette loi en partageant des identifiants Facebook, Spotify, HBO, Netflix, etc. Le juge Stephen Reinhardt, l'un des juges qui ont statué sur l'affaire, estime pour sa part que cela « menace de criminaliser des comportements inoffensifs de toutes sortes que les citoyens ordinaires adoptent dans la vie quotidienne ».
Le juge Margaret McKeown a déclaré que « Nosal et ses compères ont illustré les tournures hypothétiques des conséquences au fait de criminaliser des mots de passe », mais elle insiste sur le fait que la Cour a raté le coche : « cet appel ne concerne pas le partage de mots de passe » a-t-elle déclaré, rappelant notamment le fait que Nosal n’était déjà plus autorisé à avoir accès à la base de données du système alors il a obtenu les identifiants d’un ami.
McKeown a argumenté en disant que l’ami qui a partagé ses identifiants n’avait reçu « aucune autorité de la part de Korn/Ferry pour le faire avec un ancien employé »
Pour l’EFF, le juge Stephen Reinhardt et bien d’autres, si la CFAA réprime le fait d’accéder à un ordinateur « sans autorisation », elle ne précise pas de qui doit émaner cette autorisation. Reinhardt avance que si l’accès n’était pas autorisé par l’entreprise, il l’était quand même par l’employé. « Dans des situations que nous rencontrons au quotidien, cela devrait tous nous concerner dans la mesure où lorsque nous partageons nos identifiants avec un ami ou un collègue, nous pouvons penser, et avec de bonnes raisons, que cet accès a été autorisé par le propriétaire du compte qui l’a partagé », a indiqué Reinhardt dans une tribune où il a exprimé sa stupéfaction de voir « l'interprétation sans limites de la CFAA ». Selon lui, Nosal peut faire l'objet de poursuites pénales, mais « je ne crois pas qu'il ait violé le CFAA ».
« Il est évident qu’un pirate typique a accès à un compte “sans autorisation”, qu’il s’agisse du propriétaire du compte ou du propriétaire du système ». Il rappelle qu’utiliser les identifiants de quelqu’un avec sa permission, mais sans la permission du propriétaire du système ne s’apparente pas au piratage, mais que c’est comme ça que la Cour le traite.
Source : verdict de la Cour du neuvième district (au format PDF), EFF
Partager