Des représentants de la communauté infosec ont signé une lettre ouverte en réponse à un mémoire d’amicus que le développeur de la plate-forme électorale mobile Voatz a déposé auprès de la Cour suprême des États-Unis dans le cas de Nathan Van Buren.

Van Buren est un ancien flic qui a été inculpé en vertu de la loi sur la fraude et les abus informatiques (CFAA) après avoir été soudoyé pour rechercher des informations confidentielles dans une base de données de la police. Alors que les procureurs disent que l’homme a violé la CFAA en dépassant l’accès autorisé, sa défense affirme qu’il n’a pas dépassé l’accès autorisé puisqu’il avait reçu les informations d’identification pour accéder à cette base de données. La décision du tribunal dans cette affaire pourrait avoir des implications considérables, y compris pour la recherche en matière de sécurité.

Les chercheurs en sécurité peuvent enfreindre les conditions d’utilisation d’un produit lors de la recherche de vulnérabilités – les entreprises interdisent souvent l’analyse de leurs produits dans les conditions d’utilisation. Si cela est considéré comme «dépassant l’accès autorisé» en vertu de la CFAA, cela permet aux fournisseurs d’intenter plus facilement des poursuites judiciaires contre les chercheurs à la recherche de vulnérabilités dans leurs produits.

Dans le mémoire d’amicus qu’il a déposé, Voatz suggère que seules les recherches de sécurité autorisées devraient être considérées comme licites, mais pas les recherches de sécurité indépendantes, même si elles sont de bonne foi. La société s’oppose à un effort visant à restreindre le sens de la CFAA, qui a été promulguée en 1986, pour permettre la recherche indépendante non autorisée.

«Les recherches et les tests nécessaires peuvent plutôt être effectués par des parties autorisées. Celles-ci incluent des sociétés de conseil privées et des participants à des programmes organisés de «prime aux bogues» », lit-on dans le bref amicus de Voatz.

En réponse à ce dépôt, des représentants de la communauté infosec, y compris des personnes impliquées dans des programmes mondiaux coordonnés de divulgation des vulnérabilités, des primes de bogues et la sécurité électorale, affirment que le mémoire de Voatz «dénature fondamentalement les pratiques largement acceptées en matière de recherche sur la sécurité et de vulnérabilité …

Voir la source de cette publication