Le FBI estime que ses malwares ne doivent pas être considérés comme des malwares
Parce que les intentions de l'agence ne sont pas malveillantes

Le , par Michael Guilloux

0PARTAGES

9  0 
Le FBI essaie de donner une toute nouvelle définition à ce qu’est un malware. On peut définir un logiciel malveillant (encore appelé malware ou maliciel) comme un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur dont l'ordinateur est infecté. Mais pour le bureau fédéral américain, un malware ne peut pas être considéré comme tel, si les intentions de l’auteur ne sont pas malveillantes.

Pour le FBI, ce qui caractérise un malware, c’est son caractère « malveillant ». Dans un dépôt à la Cour le 6 juillet, le FBI explique que le terme « ‘‘malveillant’’ dans une procédure pénale et dans le monde juridique a des implications très directes ». Le bureau fédéral d’investigation estime qu’une « personne ou société raisonnable ne devrait pas interpréter les mesures prises par un officier de la loi en vertu d’une ordonnance du tribunal comme étant malveillantes ». Pour cette raison, le FBI conclut que son programme NIT utilisé conformément à une ordonnance du tribunal ne peut être considéré comme un logiciel malveillant. La NIT (Network Investigation Technique) est un programme utilisé par le FBI pour démasquer les utilisateurs du réseau Tor, en particulier les personnes impliquées dans la pédopornographie, dans le cadre de son opération Playpen.

Le FBI a utilisé ce programme pour récupérer les vraies adresses IP des visiteurs du site de pédopornographie Playpen sur le réseau Tor. La NIT a ainsi permis de dénicher un certain Jay Michaud ainsi que des milliers d’autres utilisateurs de ce site. Dans l’affaire en justice contre Jay Michaud, un agent du FBI a affirmé en mai dernier que l’utilisation de leur programme d’intrusion informatique ne peut être considérée comme un malware dans la mesure où elle a été autorisée par un tribunal et que l’ordinateur de la victime n’a pas été endommagé par le programme.

« La NIT utilisée dans cette enquête était autorisée par la Cour et n'a pas modifié les paramètres de sécurité des ordinateurs cibles sur lesquels [le code] a été déployé. Ceci étant, je ne crois pas qu'il soit approprié de décrire son fonctionnement comme étant malveillant », affirme l’agent du FBI. Il dit également avoir chargé le code NIT sur l’une de ses propres machines et que cela n'a pas modifié les paramètres de sécurité de son ordinateur, encore moins rendu sa machine plus vulnérable aux intrusions.

Certains tribunaux ont rejeté les preuves apportées par le FBI contre les suspects dans le cadre de l’opération Playpen. Ces derniers estiment que les techniques utilisées pour les obtenir ne sont pas légales, surtout que l'agence fédérale veut utiliser un seul mandat pour pirater des milliers de machines. Cependant, d’autres Cours ont approuvé les méthodes du FBI. Dans un verdict rendu en fin juin, un juge a statué en faveur du FBI, alors qu’un autre suspect arrêté dans le cadre de l’opération Playpen a fait valoir que le FBI a utilisé des données collectées illégalement. Le juge en question a en effet statué que le bureau fédéral n’avait pas besoin d’un mandat pour pirater l’ordinateur du suspect et que les adresses IP ne peuvent pas être considérées comme protégeables.

Il faut également rappeler qu’en avril dernier, la Cour suprême des États-Unis a approuvé un amendement qui pourrait permettre aux juges américains de délivrer des mandats de perquisition au FBI pour pirater des ordinateurs et dispositifs dans n’importe quelle juridiction aux États-Unis. Cet amendement prendra effet en décembre, à moins que le Congrès ne décide de le rejeter.

Sources : Twitter, Déclaration en mai dernier d’un agent spécial du FBI

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

USA : un juge statue que le FBI peut pirater un ordinateur en toute légalité, estimant qu'il ne s'agit pas d'une violation de la constitution US
La Cour suprême voudrait permettre au FBI de pirater des dispositifs dans le cadre d'une enquête, une décision qui pourra prendre effet dès décembre

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de ticNFA
Membre confirmé https://www.developpez.com
Le 13/07/2016 à 11:55
"La guerre c'est la paix." C'est le Miniver (Ministère de la vérité) qui le dit. (1984, Orwell).
Si c'est l'intention qui compte et pas son moyen, on peut aller loin, très loin.
6  0 
Avatar de olaxius
Membre actif https://www.developpez.com
Le 13/07/2016 à 12:09
Seul le FBI sait ce qu' est le bien et mal ... aahah
Le FBI ne t'espionne pas , le FBI t'indique uniquement la bonne route à suivre pour ton bonheur ... Comme J Edgar Hoover le faisait en son temps avec brio

Vox FBI vox Dei
alléluia
4  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 13/07/2016 à 11:58
Que ce soit un le FBI ou n'importe qui, s'il n'est pas souhaité ou consenti par l'utilisateur, un logiciel intrusif reste un maliciel surtout dans la mesure ou potentiellement son intention n'est pas de faire du bien. Un serveur a but malveillant peut être victime d'un maliciel qui peut-être celui de la NSA ou celui d'un autre pirate.

Sinon, si on va dans le sens de la NSA j'ai le droit de pirater la NSA pour y mettre mon logiciel de surveillance dans la mesure ou il veux surveiller que la NSA respecte les lois des Etats-Unis. Ses intentions sont louables... Et ainsi tout pirate informatique pourra se défendre en prétendant que son logiciel n'a pas agit mal (tant qu'on ne le prouve pas). Même dérober des fichiers confidentiel n'est pas mal ni même les vendres tant que je ne les exploite pas a des fins mal intentionné...

Que le FBI ait le droit d'avoir des dérogatives pour pirater est par contre légitime mais ce que l'on ne peux accepter c'est que les anti-virus ne les combattent pas.
3  0 
Avatar de Dasoft
Membre habitué https://www.developpez.com
Le 13/07/2016 à 14:36
C'est comme le lobby des armes aux USA : les armes ne sont pas faites pour pour faire le mal, elles servent à se défendre contre les méchants

L'hypocrisie est toujours de mise quand on a tort !
2  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 15/07/2016 à 10:17
Citation Envoyé par Matthieu Vergne Voir le message
Mais que ce soit clair : dans le cas du FBI, même si l'erreur est humaine, on a affaire là à une organisation qui ne peut pas utiliser l'excuse du manque de compétence. Si les fonctionnalités qu'elle implémente sont clairement identifiées comme des fonctionnalités de malware, pour montrer patte blanche elle doit pouvoir faire évoluer son logiciel de manière significative. Qu'ils affirment que leur logiciel n'a pas été fait dans le but de nuire doit être suivi d'actions concrètes et rapides, parce que c'est le FBI. Et s'il est prouvé que les responsables étaient au courant de la présence de fonctionnalités malveillantes, mais que c'est resté sans suite, alors ils méritent d'en prendre pour leur grade.

Je suis donc d'accord avec ce qui est affirmé dans le sens où s'il n'y a pas d'intention malveillante, il n'y a pas malware, mais s'il y a des preuves de mensonge ou d'irresponsabilités, ça aussi ça se punit.
Le FBI ne se focalise pas sur les techniques employées mais sur les motivations et la légalité de leur utilisation.

Prenons l'exemple de menotter un individu contre sa volonté.
Pour une personne lambda, cette action est totalement illégale et malveillante.
Pour le FBI et la police, qui sont mandatés par l'Etat, cette même action est considérée comme juste.

Autre exemple : crever les pneus d'une voiture.
Pour une personne lambda, cette action est totalement illégale et malveillante.
Pour le FBI et la police, qui sont mandatés par l'Etat, cette action peut être légale, justifiée et bienveillante par l'utilisation de herse, par exemple, pour arrêter un suspect en fuite.

Dernier exemple, bien plus proche du sujet du topic : les écoutes téléphoniques.
Pour une personne lambda, il est totalement illégal et malveillant de mettre quelqu'un sur écoute.
Pour le FBI et la police, à partir du moment où cela est autorisé par un juge, cela est légal et considéré comme bienveillant pour la société car se fait dans le cadre d'une enquête.

Pour les malwares, c'est exactement la même chose.
Il ne faut pas se poser la question de la technique utilisée mais de sa légalité et légitimité.
Si cela est ciblé et autorisé par un juge dans un cadre précis, ce ne peut être considéré comme malveillant du point de vu de la société.
C'est sûr que du point de vu de l'individu ciblé, ce n'est pas le cas mais s'il est impliqué directement ou indirectement dans un acte illégal, c'est totalement justifié.
2  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 13/07/2016 à 14:41
Je suis tout à fait d'accord que :
- un malware se caractérise (entre autres) par son but malveillant
- un logiciel développé dans un but bienveillant ne peut être classé comme malware

Par contre ça n'empêche pas :
- qu'il puisse être considéré comme "fonctionnant comme un malware", car à défaut d'un but commun, les moyens mis en œuvre peuvent l'être quand même
- qu'il soit critiqué comme tel et que l'auteur dudit logiciel, en preuve de bonne foi, change la conception de son logiciel pour ne plus se comporter "comme un malware"

Qui dit but, dit moyens pour l'atteindre. Si le but est différent, il n'y a pas de raison que les moyens mis en œuvre soient les même. S'ils le sont, c'est que le cahier des charges ne correspond pas au but recherché.
1  0 
Avatar de Conan Lord
Membre expert https://www.developpez.com
Le 13/07/2016 à 20:21
Citation Envoyé par Matthieu Vergne Voir le message
Je suis tout à fait d'accord que :
- un malware se caractérise (entre autres) par son but malveillant
- un logiciel développé dans un but bienveillant ne peut être classé comme malware

Par contre ça n'empêche pas :
- qu'il puisse être considéré comme "fonctionnant comme un malware", car à défaut d'un but commun, les moyens mis en œuvre peuvent l'être quand même
- qu'il soit critiqué comme tel et que l'auteur dudit logiciel, en preuve de bonne foi, change la conception de son logiciel pour ne plus se comporter "comme un malware"

Qui dit but, dit moyens pour l'atteindre. Si le but est différent, il n'y a pas de raison que les moyens mis en œuvre soient les même. S'ils le sont, c'est que le cahier des charges ne correspond pas au but recherché.
Je ne suis pas tout à fait d'accord. Beaucoup de malwares ne font "que" essayer de vendre un produit en injectant de la publicité. Le but étant de vendre le produit, pas de pourrir la machine de l'utilisateur (mais c'est le moyen employé). Si on suit ce raisonnement, on ne peut pas non plus classer ce type d'indésirable dans la catégorie des malware (le but n'est pas bienveillant, mais pas malveillant non plus).
Pour ton dernier point, dans le cas du FBI, il semble d'après la news qu'ils considèrent que ce type de conception se justifie. On peut difficilement compter sur la bonne foi des différents organismes (étatiques ou privés).
1  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 13/07/2016 à 21:15
Citation Envoyé par Conan Lord Voir le message
Je ne suis pas tout à fait d'accord. Beaucoup de malwares ne font "que" essayer de vendre un produit en injectant de la publicité. Le but étant de vendre le produit, pas de pourrir la machine de l'utilisateur (mais c'est le moyen employé). Si on suit ce raisonnement, on ne peut pas non plus classer ce type d'indésirable dans la catégorie des malware (le but n'est pas bienveillant, mais pas malveillant non plus).
Je ne les classerais pas en malware (programmes malveillants). Par contre, je les classerais en adware (programmes publicitaires). Les deux faisant partie d'une catégorie plus générale de programmes indésirables. L'idée étant que ton adware, si on le critique et arrive à t'imposer de ne pas faire ceci ou cela car ça va à l'encontre de l'utilisateur, tu pourras changer ta conception pour satisfaire toujours le même objectif publicitaire mais en respectant les contraintes. Avec un malware, par contre, les contraintes iraient à l'encontre même de l'objectif initial et seraient donc purement et simplement ignorées pour verser alors dans la criminalité (si ce n'est pas déjà le cas). Conceptuellement parlant, on est sur deux principes différent, l'un pouvant aller dans le bon sens et l'autre non. Ne pas mélanger les deux, c'est éviter de qualifier de criminel un programme simplement mal fait.

Après, je ne dis pas que les concepteurs d'adwares ont forcément la volonté de bien faire et d'améliorer leurs programmes. Il y en a qui font des malwares sous forme d'adwares, l'objectif premier restant tout de même le côté malware. C'est selon l'évolution du programme qu'on identifie les priorités de l'auteur. Dans le cas où l'expérience générale dans le domaine est importante, et qu'une liste de fonctionnalités a été identifiée comme composantes de malwares, un nouveau venu avec son adware pourrait tout à fait, par manque de compétence, avoir implémenté de telles fonctionnalités. Et je ne trouverais pas juste de l'étiqueter comme auteur de malware de par ce manque de compétence. Par contre il serait de son devoir, une fois mis au courant, de prendre en compte ces informations pour faire évoluer son programme dans le bon sens. De la même manière qu'avant de faire un procès à quelqu'un, tu cherches une solution à l'amiable. C'est si l'autre persiste que tu lances la procédure.

Mais que ce soit clair : dans le cas du FBI, même si l'erreur est humaine, on a affaire là à une organisation qui ne peut pas utiliser l'excuse du manque de compétence. Si les fonctionnalités qu'elle implémente sont clairement identifiées comme des fonctionnalités de malware, pour montrer patte blanche elle doit pouvoir faire évoluer son logiciel de manière significative. Qu'ils affirment que leur logiciel n'a pas été fait dans le but de nuire doit être suivi d'actions concrètes et rapides, parce que c'est le FBI. Et s'il est prouvé que les responsables étaient au courant de la présence de fonctionnalités malveillantes, mais que c'est resté sans suite, alors ils méritent d'en prendre pour leur grade.

Je suis donc d'accord avec ce qui est affirmé dans le sens où s'il n'y a pas d'intention malveillante, il n'y a pas malware, mais s'il y a des preuves de mensonge ou d'irresponsabilités, ça aussi ça se punit.
1  0 
Avatar de MagnusMoi
Membre confirmé https://www.developpez.com
Le 13/07/2016 à 11:54
Si ils le disent
0  0 
Avatar de ScriptorTux
Membre régulier https://www.developpez.com
Le 13/07/2016 à 11:55
Ben oui évidemment, je m'en doutais déjà, je ne vois vraiment pas pourquoi on pourrait penser le contraire
0  0 
Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux
L'immobilisation du 737 MAX est un tel désastre que les compagnies aériennes louent des 737-200 de 30 ans d'âge
Voitures autonomes : « Tous ceux qui comptent sur le lidar sont condamnés »
Mise à jour de la page Cours et Tutoriels pour apprendre la programmation avec Delphi, dix nouveaux tutoriels sur FireMonkey (FMX)
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web