Chercheur en sécurité : les récents changements apportés à la CFAA n’empêcheront pas les chercheurs d’être poursuivis

du merci-pour-votre-aide,-ils-ont-poursuivi département

Les personnes qui sont là pour aider sont toujours en danger. La Cour suprême a peut-être atténué un peu ces dommages dans sa 2021 Van Buren décision, mais ses limitations sur les lectures du langage de la loi sur la fraude et les abus informatiques (CFAA) signifient plus sur le papier que dans la vraie vie. Tout cela n’a fait que suggérer que les affaires CFAA ne devraient cibler que les efforts de piratage criminel, mais ont laissé la définition de “criminel” grande ouverte, lui permettant de rester un outil d’abus pour les entreprises privées qui ont refusé de résoudre les problèmes mais se sont senties justifiées de poursuivre des chercheurs en sécurité devant les tribunaux pour avoir révélé des failles de sécurité non corrigées.

Le MJ a également récemment rétréci son interprétation de la CFAA dans l’espoir de punir moins de chercheurs en sécurité et plus de vrais criminels. Mais ce changement de politique permet au DOJ d’exercer son pouvoir discrétionnaire lorsqu’il s’agit de poursuivre des accusations criminelles. Même si le DOJ fait preuve de retenue, son changement interne n’affecte pas le secteur privé, qui peut poursuivent encore des chercheurs en cour sur les dommages perçus liés à leur exposition à des failles de sécurité ou à d’autres utilisations inattendues de leurs prestations.

Chercheur en sécurité Rianna Pfefferkorn – qui a écrit pour Techdirt occasionnellement – ​​a récemment publié un papier [PDF] détaillant comment les événements récents (la décision de la Cour suprême, en particulier) n’ont pas vraiment éliminé la menace posée aux chercheurs qui travaillent pour rendre Internet sûr pour tous.

Le journal montre que le messager peut encore être abattu à une fréquence alarmante, malgré les changements de politique du DOJ et la décision de la Cour suprême. Tout ce que tout le monde a à faire est de décrire les violations et les défauts signalés comme une « perte ». Et cela permettra à des entités privées d’intenter des poursuites contre la CFAA et peut-être d’encourager le DOJ à s’impliquer, malgré sa promesse d’éviter les cas qui ne semblent pas impliquer de piratage malveillant.

Van Buren n’a pas complètement dissipé les risques juridiques que le CFAA pose depuis longtemps à une communauté particulière : les personnes qui s’engagent de bonne foi dans la recherche sur la cybersécurité. La découverte et le signalement de failles de sécurité dans les logiciels et le matériel risquent des poursuites judiciaires de la part de fournisseurs mécontents des révélations peu flatteuses sur les défauts de leurs produits. Les activités de recherche ont même parfois mené à des enquêtes criminelles. Bien que Van Buren ait réduit la portée de la CFAA et incité à réformer la politique fédérale d’inculpation pénale, les chercheurs continuent de faire face à une certaine exposition juridique. La CFAA permet toujours aux vendeurs litigieux de « tirer sur le messager » en poursuivant des recherches sur la sécurité qui ne leur ont fait aucun mal. Dépenser seulement 5 000 $ pour remédier à une vulnérabilité est suffisant pour permettre au fournisseur de poursuivre le chercheur qui l’a signalée, car ces coûts de remédiation sont considérés comme une « perte », même devant les tribunaux qui lisent ce terme de manière étroite..

5 000 $, ce n’est rien lorsqu’il s’agit de corriger des failles de sécurité. Ce montant pourrait être consommé par des avocats d’entreprise essayant de rédiger un communiqué de presse en réponse aux vulnérabilités divulguées. Pour les services comptant des milliers d’utilisateurs, l’équivalent technologique de Comptabilité hollywoodienne pourrait être déployé pour dépeindre un inconvénient momentané comme un coup catastrophique à la rentabilité d’une entreprise. 5 000 $ est une erreur d’arrondi déguisée en cause d’action.

Quoi que le DOJ fasse volontairement, cela ne restreint pas le secteur privé. Malheureusement, en raison de la barre basse des dommages perçus, la décision de la Cour suprême de 2021 ne le fait pas non plus. La loi elle-même reste inchangée et sa formulation vague signifie que la douleur peut être infligée à des personnes qui essaient simplement de faire ce qu’il faut,

La loi est si large qu’elle peut être interprétée comme interdisant non seulement les intrusions et la destruction informatiques malveillantes, mais également la recherche qui vise de bonne foi à améliorer l’état de la sécurité informatique en trouvant des vulnérabilités de sécurité numérique et en les signalant aux fournisseurs de produits..

Le CFAA est une arme, même si les représentants qui l’ont écrit n’ont jamais voulu qu’il en soit un. Tout ce que cela fait, c’est permettre aux entreprises d’engager des poursuites alors que ce ne sont pas elles qui découvrent les vulnérabilités de leurs produits et services.

Pour un fournisseur qui trouve et corrige ses propres bogues, il n’y a personne à poursuivre ; les réparations font partie du coût de faire des affaires. Pourtant, si une vulnérabilité est découverte et signalée par un tiers plutôt que par un initié, le CFAA permet à un fournisseur d’externaliser ses coûts de remédiation sur le tiers, même si celui-ci n’a causé aucun dommage aux systèmes informatiques du fournisseur.

Cela transforme le CFAA en outil de revanche. Les entreprises gênées par les failles de sécurité ou exposées comme ne voulant pas répondre aux préoccupations qui leur sont signalées de manière responsable par les chercheurs se tournent vers les tribunaux pour extraire leur livre de chair des chercheurs qui n’ont rien fait d’autre que les alerter sur les problèmes existants.

Comme le souligne Pfefferkorn, les tribunaux ne peuvent pas protéger les chercheurs car la loi peut être interprétée comme définissant le travail des chercheurs comme une infraction pénale. Le DOJ ne peut pas protéger les chercheurs parce que ses changements internes suggèrent seulement que le DOJ évite de poursuivre les chercheurs qui ont agi de «bonne foi». La bonne foi est dans l’œil du spectateur et il n’y a aucune raison de croire qu’une entreprise avec un ensemble efficace de lobbyistes ne sera pas en mesure de convaincre le DOJ de poursuivre des efforts de bonne foi.

Les programmes de primes aux bogues offrent peu de réconfort. Tout comme les modifications de la politique interne du DOJ, les programmes de primes aux bogues sont toujours considérés comme une forme de largesse. Si les entreprises n’aiment pas la façon dont un chercheur a trouvé ou signalé un bogue, le programme de primes devient un soc martelé dans une épée.

L’avènement des VDP [vulnerability disclosure programs] et les primes de bogues n’ont fait, à certains égards, que perpétuer le problème de la responsabilité des chercheurs en permettant aux fournisseurs de contrôler la recherche extérieure sur leurs produits tout en offrant peu d’assurance juridique au chercheur en retour. Les termes de ces programmes sont souvent mal rédigés, volumineux et imposent des exigences onéreuses aux chercheurs, ce qui rend la conformité difficile. Dans le même temps, ces conditions ne contiennent souvent pas de protections contractuelles solides contre la responsabilité des chercheurs et ont en effet tendance à attribuer le risque juridique au participant.

Tout cela ne fait qu’empirer les choses… pour tout le monde.

En raison de cet environnement juridique hostile, les chercheurs de bonne foi ont eu peur d’entreprendre des projets de recherche qui pourraient les exposer à une responsabilité. C’est une mauvaise nouvelle pour nous autres.

Le changement du DOJ est le bienvenu. Mais son efficacité est atténuée par tout un tas de choses, y compris le fait que son objectif CFAA ne fait rien pour dissuader les poursuites à la con et les poursuites impliquant des lois étatiques sur la criminalité informatique.

La politique du DOJ est indéniablement une avancée importante dans le rétablissement de la confiance entre la communauté de la sécurité et les autorités chargées de la protection du public. Néanmoins, elle ne peut pas totalement apaiser les craintes des chercheurs. D’une part, il s’agit d’une politique non contraignante, pas d’une loi. Même si l’accusation de chercheurs de bonne foi n’est pas favorisée, un procureur aurait toujours le pouvoir discrétionnaire de le faire. De plus, la politique n’interdit pas aux chercheurs d’enquêter sur leur travail. Il ne le pourrait pas non plus : après tout, une détermination selon laquelle une recherche particulière compte comme de la bonne foi (et donc le chercheur devrait être épargné) nécessitera sûrement un certain examen minutieux de la part du gouvernement. Les chercheurs peuvent raisonnablement se demander à quel point ce processus pourrait être intrusif. Enfin, la politique du DOJ n’a aucun effet sur les poursuites en vertu des lois anti-piratage au niveau de l’État. Les lois des États demeurent une source de responsabilité pénale potentielle pour la recherche sur la sécurité.

Exemple : le Décision du gouverneur du Missouri d’engager des poursuites pénales contre un journaliste qui n’a fait que signaler une faille de sécurité dans un site Web gouvernemental.

Alors… comment cela se règle-t-il ? L’article de Pfefferkorn propose plusieurs suggestions.

Premièrement, il doit y avoir une définition juridique claire de la « bonne foi », ainsi que des mesures de protection pour les chercheurs qui pensent avoir agi de bonne foi. Cela impliquerait de donner aux entités concernées le temps de répondre aux violations signalées, ainsi que de fournir un bouclier juridique que les chercheurs pourraient immédiatement ériger, qu’ils fassent l’objet d’accusations civiles ou pénales. Ce délai de divulgation ne serait pas indéfini : les entreprises devraient être obligées de résoudre les problèmes dès que possible, plutôt que de ralentir une réponse dans l’espoir d’intenter une action en justice lorsque la faille de sécurité (encore non corrigée) sera rendue publique. Les chercheurs interrogés par Pfefferkorn suggèrent une période d’attente de 24 à 48 heures.

Safe Harbor présente ses propres problèmes. Lu trop exclusivement, il se traduira par plus de tirs de messagers. Lisez trop laxiste et cela peut inviter les hackers black hat à invoquer ce bouclier lorsqu’ils se défendent contre les accusations de CFAA. Le juste milieu est probablement impossible à atteindre. Mais ce n’est pas parce que la solution n’est pas immédiatement apparente que rien ne devrait changer jusqu’à ce que cette solution se présente. La stase n’est pas acceptable. Cela a été la norme MO pendant trop longtemps et tout ce que cela a causé, c’est de la douleur.

Le parfait est l’ennemi du assez bon. Les propositions précédentes montrent un accord de longue date sur le fait que quelque chose de plus doit être fait pour exempter les chercheurs en sécurité de toute responsabilité légale, ainsi qu’un désaccord simultané sur ce qu’il faut faire exactement. Entre la proposition de Bambauer et Day et la nouvelle politique du DOJ, une douzaine d’années se sont écoulées.

La meilleure solution pour le moment consiste peut-être à corriger la loi elle-même, en élargissant la portée limitée du pouvoir de la Cour suprême Van Buren décision.

Pour interdire les poursuites civiles « tirer sur le messager » contre des chercheurs en sécurité de bonne foi en vertu de la CFAA, cet article propose de modifier la loi afin que le coût de la correction d’une vulnérabilité, à lui seul, ne puisse pas satisfaire le seuil juridictionnel de 5 000 $ de la loi. Resserrer le calcul de la « perte » empêcherait les poursuites en représailles contre la recherche sur la sécurité socialement bénéfique (ou du moins bénigne). Dans le même temps, cela préserverait la capacité des victimes à demander réparation dans les cas où des activités de recherche bien intentionnées (ou des cas de malveillance intentionnelle) causent un préjudice.

Une autre suggestion consiste à supprimer complètement une cause d’action privée, laissant les actions en justice de la CFAA entièrement entre les mains du DOJ. Bien que cela semble être un bon moyen de dissuader le dépôt de conneries, de poursuites en représailles, cela met également plus de pression sur le DOJ pour qu’il ignore ses propres directives. En ce qui concerne le pouvoir discrétionnaire de la poursuite, moins ils en ont, mieux c’est. Cette « solution » change simplement qui inflige la douleur.

Une autre option est le transfert de frais. Comme un anti-SLAPP mais pour la recherche de sécurité, ceux qui ont été poursuivis pour de fausses raisons seraient autorisés à demander le recouvrement des frais si le tribunal se prononçait en leur faveur. Cela pourrait dissuader les litiges frivoles uniquement destinés à causer un préjudice financier aux chercheurs responsables. Malheureusement, contrairement aux motions anti-SLAPP, ce n’est peut-être pas quelque chose que les accusés peuvent utiliser pour sortir d’un faux litige avant que trop de leur propre argent ne soit dépensé. Pourtant, ce serait mieux que la situation actuelle, où la partie gagnante est le plus souvent tenue de supporter ses propres frais.

Ce qui est clair, c’est qu’il faut faire quelque chose :

Le moment est venu de rendre le paysage juridique plus sûr pour les chercheurs en sécurité. Les dictons de « perte » de Van Buren indiquent une direction encourageante pour la réforme de la CFAA, et le changement de politique surprise du DOJ indique que de telles réformes sont réalisables et opportunes. Le fait que le Congrès renforce les exigences statutaires et ajoute une option de transfert des frais dans les affaires civiles de la CFAA contribuerait à faire avancer le projet de protection de la recherche sur la sécurité que les pouvoirs exécutif et judiciaire ont lancé. Ceux qui divulguent de manière responsable les failles de sécurité ne sont pas comme ceux qui choisissent de les exploiter. La loi fédérale sur l’intrusion informatique devrait reconnaître la différence.

Le statu quo — même avec les améliorations progressives de Van Buren et les changements de politique du DOJ – n’est pas acceptable. Les personnes qui tentent de rendre Internet plus sûr pour tout le monde risquent toujours de voir leurs bonnes actions punies.

Classé sous : CFAA, doj, rianna pfefferkorn, recherche en sécurité, Cour suprême, van buren