Le ministère de la Justice annonce qu’il ne poursuivra plus les pirates informatiques de bonne foi au titre de la CFAA

Le ministère américain de la justice a annoncé jeudi qu'il n'engagerait pas de poursuites au titre des lois fédérales sur le piratage informatique contre les chercheurs en sécurité et les pirates informatiques qui agissent de bonne foi.

Pour la première fois, la politique "prévoit que les recherches de sécurité menées de bonne foi ne doivent pas faire l'objet d'une inculpation" au titre de la loi sur la fraude et les abus informatiques (CFAA), ce qui constitue un changement radical par rapport à la politique précédente qui autorisait les procureurs à engager des poursuites fédérales contre les pirates informatiques qui découvrent des failles de sécurité dans le but de contribuer à sécuriser des systèmes exposés ou vulnérables.

Le ministère de la justice a déclaré que les chercheurs de bonne foi sont ceux qui exercent leur activité "d'une manière conçue pour éviter tout préjudice aux personnes ou au public", et lorsque les informations sont "utilisées principalement pour promouvoir la sécurité ou la sûreté de la catégorie de dispositifs, de machines ou de services en ligne à laquelle appartient l'ordinateur consulté, ou de ceux qui utilisent ces dispositifs, machines ou services en ligne".

La loi sur la fraude et les abus informatiques (Computer Fraud and Abuse Act, ou CFAA) a été promulguée en 1986 et est antérieure à l'Internet moderne. Cette loi fédérale définit ce qui constitue un piratage informatique - plus précisément un accès "non autorisé" à un système informatique - au niveau fédéral. Mais la CFAA est depuis longtemps critiquée pour son langage vague et dépassé qui ne fait guère la différence entre les chercheurs et les pirates informatiques de bonne foi et les acteurs malveillants qui cherchent à extorquer des entreprises ou des particuliers ou à causer d'autres dommages.

L'année dernière, la Cour suprême s'est penchée pour la première fois sur la CFAA depuis l'entrée en vigueur de la loi et a déterminé pour la première fois ce que signifie précisément l'interprétation de la CFAA de l'accès "non autorisé" au sens de la loi. Elle en a ensuite limité la portée, éliminant de fait toute une catégorie de scénarios hypothétiques - comme la violation de la politique de confidentialité d'un service web, la consultation de résultats sportifs à partir d'un ordinateur professionnel et, plus récemment, le scraping de pages web publiques — dans le cadre desquels les procureurs fédéraux auraient pu engager des poursuites.

Aujourd'hui, le ministère de la justice exclut, bien qu'un an après l'arrêt de la Cour, d'engager des poursuites fédérales pour ce type de scénario et se concentre plutôt sur les cas où des acteurs malveillants s'introduisent délibérément dans un système informatique.

Ce changement de politique n'est pas une solution législative et pourrait, tout comme le ministère de la Justice l'a fait aujourd'hui, changer à l'avenir. Il ne protège pas non plus les pirates informatiques de bonne foi — ou toute autre personne accusée de piratage — des lois étatiques sur le piratage informatique.

Dans une déclaration, le procureur général adjoint des États-Unis, Lisa O. Monaco, a déclaré :

Le ministère n'a jamais souhaité poursuivre comme un crime les recherches de sécurité informatique menées de bonne foi, et l'annonce d'aujourd'hui favorise la cybersécurité en clarifiant la situation des chercheurs en sécurité de bonne foi qui recherchent les vulnérabilités pour le bien commun.

Certains critiques n'accepteront peut-être pas cette affirmation aussi volontiers après le décès d'Aaron Swartz, qui s'est suicidé en 2013 après avoir été inculpé en vertu de la CFAA pour avoir téléchargé 4,8 millions d'articles et de documents du service d'abonnement universitaire JSTOR. Bien que JSTOR ait refusé de poursuivre l'affaire, les procureurs fédéraux ont tout de même porté des accusations de vol contre lui.

Depuis la mort de Swartz, les militants et les législateurs ont fait pression pour qu’une “loi d’Aaron” soit adoptée afin de réformer et de codifier les changements apportés au CFAA dans la loi pour mieux protéger les pirates informatiques de bonne foi.