Jusqu’à présent, le principe du droit pénal américain était le suivant : hacking = hacking. Cela signifie que même des cyberattaques motivées par un motif louable pourraient avoir des conséquences criminelles. Cependant, cela va maintenant changer. Ainsi, le gouvernement américain veut désormais garantir que le piratage informatique motivé par de bonnes intentions ne soit plus punissable à l’avenir.
La loi anti-piratage à moderniser
Saviez-vous que derrière de nombreuses failles de sécurité connues se cachent des pirates informatiques individuels ou des groupes de hackers qui souhaitent signaler les failles de sécurité des entreprises ? C’est monnaie courante et cela montre clairement que tous les pirates informatiques ne sont en aucun cas des criminels. Malheureusement, la justice américaine a toujours considéré que même les cyberattaques ayant des intentions positives devaient être considérées en soi comme des attaques de pirates informatiques ayant un caractère criminel correspondant. Du point de vue d’un expert, la loi CFAA (Computer Fraud and Abuse Act) compare depuis longtemps des pommes et des oranges. Ici, les pirates informatiques qui souhaitent éventuellement voler des données et les utiliser à des fins de chantage ont été sommairement comparés à des pirates informatiques qui souhaitent aider leur cible et attirer l’attention sur des failles de sécurité.
Pour comprendre pourquoi le point de vue de la justice américaine est encore si dépassé en 2022, il convient de se pencher sur l’histoire de la CFAA. Cette mesure est entrée en vigueur en 1986, pendant la guerre froide, en déclin mais toujours présente. À cette époque, presque seules les institutions étatiques pouvaient être victimes de piratage. La crainte de voir des secrets d’État confidentiels être volés était donc grande. Mais entre-temps, les choses ont changé. Les cyberattaques ne sont plus seulement des actions politiquement motivées ou la quintessence du vol numérique. De nos jours, de nombreux pirates informatiques louables recherchent les fuites de sécurité dangereuses sur le World Wide Web au nom de tous les utilisateurs Internet. La secrétaire américaine à la Justice Lisa Monaco en est également consciente. Elle souhaite donc mettre en œuvre un amendement à la CFAA.
N’ayez plus peur des sanctions draconiennes
L’amendement à la CFAA vise notamment à garantir que les pirates informatiques bien intentionnés n’aient plus à craindre de lourdes sanctions à l’avenir. Après tout, tout le monde en profite. D’un côté, il y a les entreprises. Ils sont informés très tôt des problèmes de sécurité de leur système informatique. Cela se produit généralement même sans nuire à leur réputation. Après tout, la grande majorité des pirates informatiques contactent d’abord l’exploitant du site Web lui-même avant que quoi que ce soit ne soit rendu public. En pratique, ils agissent souvent après avoir fixé un délai. Si l’entreprise concernée n’a pas résolu ses problèmes de sécurité dans un certain délai, de nombreux pirates informatiques bien intentionnés ne voient qu’une seule solution : informer le public.
Réaction à la décision de justice
Bien entendu, la réécriture n’est désormais pas destinée à servir de faille à quiconque mène une attaque de piratage. Sinon, même ceux qui ont des intentions criminelles pourraient facilement prétendre que de bonnes intentions étaient à l’origine du piratage. Tout d’abord, le principe est que ni les individus ni la société ne peuvent être lésés par l’attaque. De plus, le pirate informatique doit utiliser les données et autres informations collectées dans un seul but : améliorer la sécurité informatique. La cyberattaque doit donc se concentrer uniquement sur la recherche de failles de sécurité. Mais d’où vient le revirement du gouvernement américain ? Il est clair que les avocats et les experts en informatique font campagne depuis un certain temps contre le controversé CFAA.
La CFAA est actuellement formulée de telle manière que quiconque, sans exception, se connecte à un réseau informatique sans l’autorisation appropriée est coupable. Et c’est là que réside le gros problème. Les personnes qui souhaitent assurer une plus grande sécurité informatique font précisément partie de ce groupe de personnes au sens de la loi telle qu’elle est actuellement formulée. Cela le rend tout sauf à jour. La Cour suprême, la plus haute juridiction des États-Unis, partage également cet avis. En 2021, elle a statué que de telles cyberattaques bien intentionnées ne devraient pas être punies en vertu de la CFAA. Il n’y avait tout simplement aucune intention criminelle. Nous espérons que la nouvelle version de la loi ne tardera pas à être publiée.
