
C’est le cas par exemple de HD Moore, créateur de l’outil Metasploit et directeur de recherche pour le consultant Rapid7, qui déclare être poursuivi par le département de la justice américaine suite au lancement de son projet Critical.I.O (projet qui permet de détecter des failles largement répandues sur Internet en recourant à des robots informatiques) en dépit d’avoir découvert des faiblesses dans le protocole UPnP (Universal Plug and Play) de plus de 40 à 50 millions de réseaux informatiques.
D’autres comme Jeremiah Grossman, directeur d’une firme de sécurité s’exprime en ces termes lorsqu’il s’agit de la CFAA et des juristes : « actuellement, ils détruisent des carrières, car ils ne prennent pas en compte l’intention », alors que Zach Lanier, expert en sécurité chez Duo Security affirme que « certaines organisations recourant de manière agressive à la CFAA lorsque des vulnérabilités sont rapportées n’ont en tête que les dollars récoltés suite à une poursuite judiciaire ». Une situation que lui-même a dû affronter après avoir découvert des vulnérabilités dans les produits d’un manufacturier.
Face à cette situation, certains experts espèrent que la CFAA sera enfin amendée par la loi Aaron qui remet en question l’application extrême des peines juridiques. La loi tire son nom de l’activiste Aaron Swartz qui s’est suicidé en 2013, après avoir encouru plus de 30 ans de prison pour un acte mineur : le téléchargement sans autorisation d’un document sur la plateforme Jstor à partir des serveurs du MIT.
Alors qu’au même moment, certains parlementaires souhaiteraient revoir à la hausse les peines encourues dans le cadre du CFAA pour répondre à la récente hausse de la cybercriminalité.
Au final, cette situation incongrue pour les chercheurs en sécurité ne risque pas d’évoluer dans le bon sens vu le climat actuel. L’une des solutions pourrait venir d’un amendement de la loi Aaron. Dans le cas contraire, leurs carrières seraient menacées encore plus.
Source : The Guardian.com
Et vous ?

