Discussion :

[Michael Guilloux]

Le FBI estime que ses malwares ne doivent pas être considérés comme des malwares
parce que les intentions de l’agence ne sont pas malveillantes

Le FBI essaie de donner une toute nouvelle définition à ce qu’est un malware. On peut définir un logiciel malveillant (encore appelé malware ou maliciel) comme un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur dont l'ordinateur est infecté. Mais pour le bureau fédéral américain, un malware ne peut pas être considéré comme tel, si les intentions de l’auteur ne sont pas malveillantes.

Pour le FBI, ce qui caractérise un malware, c’est son caractère « malveillant ». Dans un dépôt à la Cour le 6 juillet, le FBI explique que le terme « ‘‘malveillant’’ dans une procédure pénale et dans le monde juridique a des implications très directes ». Le bureau fédéral d’investigation estime qu’une « personne ou société raisonnable ne devrait pas interpréter les mesures prises par un officier de la loi en vertu d’une ordonnance du tribunal comme étant malveillantes ». Pour cette raison, le FBI conclut que son programme NIT utilisé conformément à une ordonnance du tribunal ne peut être considéré comme un logiciel malveillant. La NIT (Network Investigation Technique) est un programme utilisé par le FBI pour démasquer les utilisateurs du réseau Tor, en particulier les personnes impliquées dans la pédopornographie, dans le cadre de son opération Playpen.

Le FBI a utilisé ce programme pour récupérer les vraies adresses IP des visiteurs du site de pédopornographie Playpen sur le réseau Tor. La NIT a ainsi permis de dénicher un certain Jay Michaud ainsi que des milliers d’autres utilisateurs de ce site. Dans l’affaire en justice contre Jay Michaud, un agent du FBI a affirmé en mai dernier que l’utilisation de leur programme d’intrusion informatique ne peut être considérée comme un malware dans la mesure où elle a été autorisée par un tribunal et que l’ordinateur de la victime n’a pas été endommagé par le programme.

« La NIT utilisée dans cette enquête était autorisée par la Cour et n'a pas modifié les paramètres de sécurité des ordinateurs cibles sur lesquels [le code] a été déployé. Ceci étant, je ne crois pas qu'il soit approprié de décrire son fonctionnement comme étant malveillant », affirme l’agent du FBI. Il dit également avoir chargé le code NIT sur l’une de ses propres machines et que cela n'a pas modifié les paramètres de sécurité de son ordinateur, encore moins rendu sa machine plus vulnérable aux intrusions.

Certains tribunaux ont rejeté les preuves apportées par le FBI contre les suspects dans le cadre de l’opération Playpen. Ces derniers estiment que les techniques utilisées pour les obtenir ne sont pas légales, surtout que l'agence fédérale veut utiliser un seul mandat pour pirater des milliers de machines. Cependant, d’autres Cours ont approuvé les méthodes du FBI. Dans un verdict rendu en fin juin, un juge a statué en faveur du FBI, alors qu’un autre suspect arrêté dans le cadre de l’opération Playpen a fait valoir que le FBI a utilisé des données collectées illégalement. Le juge en question a en effet statué que le bureau fédéral n’avait pas besoin d’un mandat pour pirater l’ordinateur du suspect et que les adresses IP ne peuvent pas être considérées comme protégeables.

Il faut également rappeler qu’en avril dernier, la Cour suprême des États-Unis a approuvé un amendement qui pourrait permettre aux juges américains de délivrer des mandats de perquisition au FBI pour pirater des ordinateurs et dispositifs dans n’importe quelle juridiction aux États-Unis. Cet amendement prendra effet en décembre, à moins que le Congrès ne décide de le rejeter.

Sources : Twitter, Déclaration en mai dernier d’un agent spécial du FBI

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

USA : un juge statue que le FBI peut pirater un ordinateur en toute légalité, estimant qu'il ne s'agit pas d'une violation de la constitution US
La Cour suprême voudrait permettre au FBI de pirater des dispositifs dans le cadre d'une enquête, une décision qui pourra prendre effet dès décembre

[MagnusMoi]

Si ils le disent

[ticNFA]

"La guerre c'est la paix." C'est le Miniver (Ministère de la vérité) qui le dit. (1984, Orwell).
Si c'est l'intention qui compte et pas son moyen, on peut aller loin, très loin.

[ScriptorTux]

Ben oui évidemment, je m'en doutais déjà, je ne vois vraiment pas pourquoi on pourrait penser le contraire

[abriotde]

Que ce soit un le FBI ou n'importe qui, s'il n'est pas souhaité ou consenti par l'utilisateur, un logiciel intrusif reste un maliciel surtout dans la mesure ou potentiellement son intention n'est pas de faire du bien. Un serveur a but malveillant peut être victime d'un maliciel qui peut-être celui de la NSA ou celui d'un autre pirate.

Sinon, si on va dans le sens de la NSA j'ai le droit de pirater la NSA pour y mettre mon logiciel de surveillance dans la mesure ou il veux surveiller que la NSA respecte les lois des Etats-Unis. Ses intentions sont louables... Et ainsi tout pirate informatique pourra se défendre en prétendant que son logiciel n'a pas agit mal (tant qu'on ne le prouve pas). Même dérober des fichiers confidentiel n'est pas mal ni même les vendres tant que je ne les exploite pas a des fins mal intentionné...

Que le FBI ait le droit d'avoir des dérogatives pour pirater est par contre légitime mais ce que l'on ne peux accepter c'est que les anti-virus ne les combattent pas.

[olaxius]

Seul le FBI sait ce qu' est le bien et mal ... aahah
Le FBI ne t'espionne pas , le FBI t'indique uniquement la bonne route à suivre pour ton bonheur ... Comme J Edgar Hoover le faisait en son temps avec brio

Vox FBI vox Dei
alléluia

[Saverok]

Ca me fait penser à des sujets du bac philo sur la loi et la morale
* "La loi est elle juste ?"
* "Un acte légal est-il nécessairement juste ?"
etc.

[Dasoft]

C'est comme le lobby des armes aux USA : les armes ne sont pas faites pour pour faire le mal, elles servent à se défendre contre les méchants

L'hypocrisie est toujours de mise quand on a tort !

[Matthieu Vergne]

Je suis tout à fait d'accord que :
- un malware se caractérise (entre autres) par son but malveillant
- un logiciel développé dans un but bienveillant ne peut être classé comme malware

Par contre ça n'empêche pas :
- qu'il puisse être considéré comme "fonctionnant comme un malware", car à défaut d'un but commun, les moyens mis en œuvre peuvent l'être quand même
- qu'il soit critiqué comme tel et que l'auteur dudit logiciel, en preuve de bonne foi, change la conception de son logiciel pour ne plus se comporter "comme un malware"

Qui dit but, dit moyens pour l'atteindre. Si le but est différent, il n'y a pas de raison que les moyens mis en œuvre soient les même. S'ils le sont, c'est que le cahier des charges ne correspond pas au but recherché.

[MikeRowSoft]

J'ai une fois utilisé l'accès Internet de mon téléphone Nokia 112 en étant en France, J'ai été géolocalisé comme étant au états-unis d'Amérique par Gmail (affichage google MAP après visite du compte depuis chez moi, j'étais en déplacement), résultat j'ai pas pu voir les nouveaux emails car il fallait entrer un code pour justifier que l'appareil est correct et que c'est bien moi qui l'utilise en consultant cette même adresse email...

J'y ai pas cru mes yeux. Mais cela aurait il pu servir de preuve de ma présence sur le sol des états-unis d'Amérique a cette date ?

Clairement oui. Pourtant je n'y étais vraiment pas. L'adresse IP faisait surement parti de celle accordé sur le sol des états-unis d'Amérique.

P.S.: Veuillez supprimer se message et me mettre une pénalité pour hors sujet car avec un smartphone AUWIO AM-X200 aucun problème malgré le fait que l'adresse soit surement resté la même et cela sans Wi-Fi et GPS activé, mais uniquement 2G ou 3G.

[Invité]

Je suis tout à fait d'accord que :
- un malware se caractérise (entre autres) par son but malveillant
- un logiciel développé dans un but bienveillant ne peut être classé comme malware

Par contre ça n'empêche pas :
- qu'il puisse être considéré comme "fonctionnant comme un malware", car à défaut d'un but commun, les moyens mis en œuvre peuvent l'être quand même
- qu'il soit critiqué comme tel et que l'auteur dudit logiciel, en preuve de bonne foi, change la conception de son logiciel pour ne plus se comporter "comme un malware"

Qui dit but, dit moyens pour l'atteindre. Si le but est différent, il n'y a pas de raison que les moyens mis en œuvre soient les même. S'ils le sont, c'est que le cahier des charges ne correspond pas au but recherché.

Je ne suis pas tout à fait d'accord. Beaucoup de malwares ne font "que" essayer de vendre un produit en injectant de la publicité. Le but étant de vendre le produit, pas de pourrir la machine de l'utilisateur (mais c'est le moyen employé). Si on suit ce raisonnement, on ne peut pas non plus classer ce type d'indésirable dans la catégorie des malware (le but n'est pas bienveillant, mais pas malveillant non plus).
Pour ton dernier point, dans le cas du FBI, il semble d'après la news qu'ils considèrent que ce type de conception se justifie. On peut difficilement compter sur la bonne foi des différents organismes (étatiques ou privés).

[Matthieu Vergne]

Je ne suis pas tout à fait d'accord. Beaucoup de malwares ne font "que" essayer de vendre un produit en injectant de la publicité. Le but étant de vendre le produit, pas de pourrir la machine de l'utilisateur (mais c'est le moyen employé). Si on suit ce raisonnement, on ne peut pas non plus classer ce type d'indésirable dans la catégorie des malware (le but n'est pas bienveillant, mais pas malveillant non plus).

Je ne les classerais pas en malware (programmes malveillants). Par contre, je les classerais en adware (programmes publicitaires). Les deux faisant partie d'une catégorie plus générale de programmes indésirables. L'idée étant que ton adware, si on le critique et arrive à t'imposer de ne pas faire ceci ou cela car ça va à l'encontre de l'utilisateur, tu pourras changer ta conception pour satisfaire toujours le même objectif publicitaire mais en respectant les contraintes. Avec un malware, par contre, les contraintes iraient à l'encontre même de l'objectif initial et seraient donc purement et simplement ignorées pour verser alors dans la criminalité (si ce n'est pas déjà le cas). Conceptuellement parlant, on est sur deux principes différent, l'un pouvant aller dans le bon sens et l'autre non. Ne pas mélanger les deux, c'est éviter de qualifier de criminel un programme simplement mal fait.

Après, je ne dis pas que les concepteurs d'adwares ont forcément la volonté de bien faire et d'améliorer leurs programmes. Il y en a qui font des malwares sous forme d'adwares, l'objectif premier restant tout de même le côté malware. C'est selon l'évolution du programme qu'on identifie les priorités de l'auteur. Dans le cas où l'expérience générale dans le domaine est importante, et qu'une liste de fonctionnalités a été identifiée comme composantes de malwares, un nouveau venu avec son adware pourrait tout à fait, par manque de compétence, avoir implémenté de telles fonctionnalités. Et je ne trouverais pas juste de l'étiqueter comme auteur de malware de par ce manque de compétence. Par contre il serait de son devoir, une fois mis au courant, de prendre en compte ces informations pour faire évoluer son programme dans le bon sens. De la même manière qu'avant de faire un procès à quelqu'un, tu cherches une solution à l'amiable. C'est si l'autre persiste que tu lances la procédure.

Mais que ce soit clair : dans le cas du FBI, même si l'erreur est humaine, on a affaire là à une organisation qui ne peut pas utiliser l'excuse du manque de compétence. Si les fonctionnalités qu'elle implémente sont clairement identifiées comme des fonctionnalités de malware, pour montrer patte blanche elle doit pouvoir faire évoluer son logiciel de manière significative. Qu'ils affirment que leur logiciel n'a pas été fait dans le but de nuire doit être suivi d'actions concrètes et rapides, parce que c'est le FBI. Et s'il est prouvé que les responsables étaient au courant de la présence de fonctionnalités malveillantes, mais que c'est resté sans suite, alors ils méritent d'en prendre pour leur grade.

Je suis donc d'accord avec ce qui est affirmé dans le sens où s'il n'y a pas d'intention malveillante, il n'y a pas malware, mais s'il y a des preuves de mensonge ou d'irresponsabilités, ça aussi ça se punit.

[Saverok]

Mais que ce soit clair : dans le cas du FBI, même si l'erreur est humaine, on a affaire là à une organisation qui ne peut pas utiliser l'excuse du manque de compétence. Si les fonctionnalités qu'elle implémente sont clairement identifiées comme des fonctionnalités de malware, pour montrer patte blanche elle doit pouvoir faire évoluer son logiciel de manière significative. Qu'ils affirment que leur logiciel n'a pas été fait dans le but de nuire doit être suivi d'actions concrètes et rapides, parce que c'est le FBI. Et s'il est prouvé que les responsables étaient au courant de la présence de fonctionnalités malveillantes, mais que c'est resté sans suite, alors ils méritent d'en prendre pour leur grade.

Je suis donc d'accord avec ce qui est affirmé dans le sens où s'il n'y a pas d'intention malveillante, il n'y a pas malware, mais s'il y a des preuves de mensonge ou d'irresponsabilités, ça aussi ça se punit.

Le FBI ne se focalise pas sur les techniques employées mais sur les motivations et la légalité de leur utilisation.

Prenons l'exemple de menotter un individu contre sa volonté.
Pour une personne lambda, cette action est totalement illégale et malveillante.
Pour le FBI et la police, qui sont mandatés par l'Etat, cette même action est considérée comme juste.

Autre exemple : crever les pneus d'une voiture.
Pour une personne lambda, cette action est totalement illégale et malveillante.
Pour le FBI et la police, qui sont mandatés par l'Etat, cette action peut être légale, justifiée et bienveillante par l'utilisation de herse, par exemple, pour arrêter un suspect en fuite.

Dernier exemple, bien plus proche du sujet du topic : les écoutes téléphoniques.
Pour une personne lambda, il est totalement illégal et malveillant de mettre quelqu'un sur écoute.
Pour le FBI et la police, à partir du moment où cela est autorisé par un juge, cela est légal et considéré comme bienveillant pour la société car se fait dans le cadre d'une enquête.

Pour les malwares, c'est exactement la même chose.
Il ne faut pas se poser la question de la technique utilisée mais de sa légalité et légitimité.
Si cela est ciblé et autorisé par un juge dans un cadre précis, ce ne peut être considéré comme malveillant du point de vu de la société.
C'est sûr que du point de vu de l'individu ciblé, ce n'est pas le cas mais s'il est impliqué directement ou indirectement dans un acte illégal, c'est totalement justifié.

[Matthieu Vergne]

Ce que j'entends par fonctionnalités de malware, ce sont des fonctionnalités dont le but est clairement avant tout d'être malveillant. C'est subjectif, mais si on établit un objectif, et qu'avec deux alternatives l'une est plus agressive que l'autre sans apporter de bénéfice clair, il me semble normal de critiquer la méthode elle-même, indépendamment de son but. D'où le remue-ménage avec notre loi renseignement et ses boîtes noires : la méthode proposée n'est pas convaincante étant donné l'objectif visé. Quand bien même un mandat serait délivré et donc la légalité établie, si la méthode n'est pas efficace ou est disproportionnée il me semble normal de la critiquer. C'est bourré de subjectivité, mais c'est ce qui fais avancer la société.

Donc même si le FBI ne se focalise pas sur les techniques employées mais sur les motivations et la légalité de leur utilisation, il n'en reste pas moins qu'un tel raisonnement se focalise sur "tant que la loi est appliquée", sans remettre en cause le contenu actuel de la loi. Or on sait très bien que les lois évoluent avec la société, on ne peut donc pas exclure du débat l'idée de la réviser, par exemple en interdisant telle ou telle méthode parce qu'elles se sont montrées inefficaces ou injustifiées. Maintenant, si la loi a bel et bien été appliquée, le FBI peut être blanchit, mais des propositions de lois peuvent suivre, forçant le FBI a changer ses méthodes. De là mon raisonnement : ce n'est peut-être pas un malware (aucune motivation malveillante), mais ça peut s'y assimiler (technique plus intéressante pour un malware que pour protéger la société), et de là on peut exiger une évolution desdites méthodes (évolution de la loi pour contraindre le FBI). Tout comme un cahier des charges : suivre le cahier des charges est une bonne raison, mais ça n'exclut pas de réviser le cahier des charges pour l'améliorer, de façon à réussir le projet.