La disposition anti-contournement de la DMCA stipule que « nul n’est autorisé à contourner une mesure technologique qui contrôle l’accès à une œuvre protégée par cet article ». L’article 1201 est clair et indique que « contourner une mesure technologique signifie déchiffrer une œuvre chiffrée ou procéder autrement pour éviter, contourner, désactiver ou altérer une mesure technologique, et ce, sans l’autorité du propriétaire du copyright ».
En octobre 2016, suite à la pression, la justice américaine a publié une liste d'exceptions au DMCA dont l’objectif était de protéger les professionnels en sécurité comme le réclamait l’EFF : sur deux ans (c’est à dire jusqu’en octobre 2018), la justice a estimé que les chercheurs peuvent contourner les contrôles d'accès numériques, faire de la rétro-ingénierie, avoir accès, copier et manipuler du contenu numérique qui est protégé par le droit d'auteur sans craindre de poursuite judiciaire dans la limite du raisonnable. La Federal Trade Commission parle d’actes qui doivent être perpétrés de « bonne foi ».
La liste des exceptions comprend :
- les logiciels fonctionnant sur des dispositifs légaux et la rétro-ingénierie logicielle pour la recherche en cybersécurité ;
- les dispositifs de consommation, tels que les smartphones, les tablettes et les machines de vote à des fins de recherche ;
- les véhicules de tests ;
- l’exploration de dispositifs médicaux par les patients pour accéder aux données ;
- les jeux vidéo, les bibliothèques et le streaming vidéo à des fins éducatives.
À l’approche de la fin de validité de ces exceptions, l’EFF veut relancer le débat face à une solution qui n’était que provisoire et propose une sortie qui va engager les entreprises technologiques.
Les systèmes de divulgation
L’EFF a noté que « Le Congrès n’a jamais promulgué de loi disant : "Les entreprises devraient pouvoir décider qui va publier des informations véridiques sur les défauts de leurs produits”, d’ailleur le premier amendement n’autoriserait pas une telle loi, mais cela n’a pas empêché les entreprises d’en invoquer une. à partir de rien, puis de la défendre comme si c'était un droit naturel qu'elles avaient toujours eu ».
Le défenseur des droits numérique s’érige contre les entreprises qui s’appuient sur la section 1201 du DMCA pour engager des poursuites contre les chercheurs qui divulguent des failles aussi bien sur leur software que sur leur hardware.
L'argument des entreprises se présente comme suit : « Nos conditions d'utilisation interdisent toute recherche de problème de sécurité dans notre système. Lorsque vous vous connectez à notre serveur à cette fin, vous “outrepassez votre autorisation”, en violation de la loi sur la fraude et les abus informatiques ».
Il y a aussi celui-ci : « Nous avons conçu nos produits avec un verrou que vous devez contourner pour découvrir les défauts de notre logiciel. Comme notre logiciel est protégé par des droits d’auteur, ce verrou est un "contrôle d’accès à une œuvre protégée« et votre recherche est interdite. Toute publication expliquant comment reproduire vos découvertes est un discours illégal, car aider les autres à contourner nos serrures constitue du “trafic” ».
Cependant, pour l’EFF tout est clair :
« Le premier amendement ne permettrait certainement pas au Congrès de promulguer une loi interdisant de divulguer de véritables informations techniques. Même (et surtout!) si ces divulgations révélaient des défauts de sécurité dont le public devait être conscient avant de décider de faire confiance à un produit ou un service.
« Mais la présence de ces lois a convaincu le secteur de la technologie, ainsi que les sociétés qui ont ajouté des technologies “intelligentes” à leurs produits “idiots”, qu’il est tout à fait naturel qu’il soit le seul dépositaire de l’autorité pour les embarrasser ou les déranger [les dénonciateurs]. Les pires de ces acteurs utilisent des menaces d’invoquer CFAA et DMCA 1201 pour faire taire les chercheurs ce qui fait que la première fois que vous découvrez que vous faites confiance à un produit défectueux est lorsque les criminels et les grifters l’ont tellement exploité qu’il est impossible d’empêcher que le problème ne devienne largement connu.
« Même les meilleures entreprises, les plus responsables, se trompent. Des sociétés technologiques comme Mozilla, Dropbox et, plus récemment, Tesla ont élaboré des politiques de "divulgation coordonnée" dans lesquelles elles font des promesses sincères et juridiquement exécutoires de prendre au sérieux les divulgations de sécurité et de les respecter dans un délai défini. Et elles promettent même de ne pas se servir de lois comme le DMCA 1201 pour se venger des chercheurs en sécurité qui suivent leurs directives ».
Pour l’EFF, c'est un bon début, mais c'est une solution tardive et limitée à un problème beaucoup plus important.
« Le fait est que presque toutes les entreprises sont des “entreprises technologiques”, des fournisseurs d’implantations médicales aux sociétés de machines à voter, et elles ne sont pas toutes aussi remarquables et aussi enthousiastes que Mozilla.
L’EFF note par exemple que bon nombre de ces entreprises ont des politiques de « divulgation coordonnée » dans lesquelles elles espèrent inciter les chercheurs en sécurité à venir vers elle en premier dès lors qu’ils découvrent des problèmes avec leurs produits et services.
De l’honnêteté
Toutefois, l’EFF n’est pas dupe : « Ces entreprises n’y vont pas de bonté de coeur : ces politiques existent parce qu’elles sont le meilleur espoir de ces entreprises d’empêcher les chercheurs en sécurité de les embarrasser en publiant simplement le bogue sans avertissement. Si les entreprises peuvent simplement faire taire les chercheurs qui ne jouent pas selon leurs règles, nous devrions nous attendre à ce qu’elles le fassent. Il n’est pas rare de voir des PDG qui fantasment sur la façon dont ils pourraient faire taire les critiques à leur égard ».
Pour l’EFF, plutôt que d’élaborer une politique de divulgation qui dit : « Nous resterons à l’écart de ces interprétations injustes et absurdes de ces lois mal écrites, à condition que vous ne disiez que la vérité de la manière dont nous approuvons », les entreprises devraient mettre quelque chose comme ça dans leurs politiques de divulgation :
« Nous pensons que transmettre des avertissements véridiques sur les défauts des systèmes est toujours légal. Bien entendu, nous préférons que vous utilisiez notre système de divulgation [LIEN] où nous nous engageons à enquêter sur vos bogues et à les résoudre rapidement. Mais nous ne croyons pas avoir le droit de vous forcer à utiliser notre système.
« En conséquence, nous nous engageons à NE JAMAIS invoquer de droit statutaire - par exemple, des droits qui nous sont accordés en vertu de la loi sur le secret commercial, la loi anti-piratage ou la loi anti-contournement - contre quiconque fait une divulgation véridique d'un défaut de l'un de nos produits ou services, quelle que soit la manière dont cette divulgation est faite.
« Nous pensons vraiment que la meilleure façon de garantir la sécurité de nos clients et nos produits sans bogue est d'entrer dans une relation de coopération avec des chercheurs en sécurité et c’est la raison pour laquelle notre système de divulgation existe et nous espérons vraiment que vous l'utiliserez, bien que nous ne pensions pas avoir le droit de vous forcer à l'utiliser ».
Source : EFF
Et vous ?
Que pensez-vous de l'idée de permettre aux chercheurs de divulguer les failles de sécurité hardware ou software de la manière qu'ils le souhaitent ?
Vous rangez-vous du côté de l'EFF qui soutient que les entreprises doivent promettre de ne pas lancer de poursuites ?
Voir aussi :
FCK DRM : une campagne anti-DRM lancée sur la plateforme GOG du studio polonais CD Projekt à qui on doit déjà The Witcher et Cyberpunk 2077
Le Comité JPEG explore l'utilisation de la blockchain pour introduire des DRM dans JPEG, une mauvaise idée selon un observateur
Play Store : Google annonce une mesure de sécurité qui s'apparenterait à un DRM introduit dans les applications Android
DRM dans HTML5 : la spécification EME devient un standard du Web malgré l'absence de consensus, l'EFF décide donc de se retirer du W3C
IFLA, une association américaine de bibliothécaires, appelle à son tour le W3C à reconsidérer l'adoption des DRM sur le Web