Le ministère américain de la Justice a annoncé jeudi qu'il ne porterait pas d'accusations en vertu des lois fédérales sur le piratage contre les chercheurs en sécurité et les hackers éthiques.
Dans le cyberspace il y a le bon et le mauvais hackeur. Le bon hackeur est celui qui agit de bonne foi, et combat les pirates en décelant des failles de sécurité afin de prévenir et protéger les systèmes vulnérables. Une démarche a priori bienvenue pourtant puni jusqu’ici par la loi aux Etats-Unis.
Une loi obsolète
Désormais, la loi « ordonne que la recherche de sécurité de bonne foi ne soit pas inculpée » en vertu du texte sur la fraude et les abus informatiques (CFAA), a déclaré le ministère de la Justice des Etats-Unis. La CFFA avait été promulgué en 1986. Elle définit le piratage comme l'accès « non autorisé » à un système informatique. Une définition trop générale et obsolète qui punit les bons. Alors que ces derniers agissent « d'une manière conçue pour éviter tout préjudice aux individus ou au public », et dont les actions « servent principalement à promouvoir la sécurité ou la sûreté de la classe d’appareils, machines ou services en ligne auxquels appartient l'ordinateur consulté, ou ceux qui utilisent ces appareils, machines ou services en ligne ».
La procureure générale adjointe des États-Unis, Lisa O. Monaco, a déclaré dans un communiqué que : « le département n'a jamais été intéressé à poursuivre en justice la recherche de bonne foi sur la sécurité informatique en tant que crime ». Cette annonce doit favoriser la cybersécurité et fournir « des éclaircissements aux chercheurs en sécurité de bonne foi ».
Et en France ?
En France la loi pour une République numérique protège depuis 2016 les hackers éthiques qui signalent une faille informatique à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). « Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données. » stipule le texte.