USA : le DOJ veut protéger les chercheurs en cybersécurité « de bonne foi »

Aux États-Unis, les poursuites contre les cybercriminels s’appuient le plus souvent sur des violations du Computer Fraud and Abuse Act (CFAA), une loi de 1986.

Face à la recrudescence des inculpations de hackers white hat, le ministère américain de la Justice (Department of Justice, DOJ) a décidé de réviser cette politique, en recommandant aux procureurs d’éviter d’inculper les chercheurs en sécurité qui agissent de « bonne foi ».

Lisa O. Monaco, procureur général adjoint au DOJ, estime que ces nouvelles directives « favorisent la cybersécurité en apportant des éclaircissements aux chercheurs en sécurité de bonne foi qui recherchent les vulnérabilités pour le bien commun ».

La notion de « recherche de bonne foi » est ainsi définie dans le Digital Millennium Copyright Act (DMCA) : « accéder à un ordinateur uniquement à des fins de test, d’investigation et/ou de correction d’une faille de sécurité ou d’une vulnérabilité, lorsque cette activité est menée de manière à éviter tout préjudice aux individus ou au public, (…), principalement pour promouvoir la sécurité ou la sûreté ».

Pour autant, selon Orin Kerr, professeur de droit à l’Université de Berkeley, cela ne signifie pas forcément la tranquillité pour les hackers white hat.

« Le DOJ indique clairement qu’il ne poursuivra pas les chercheurs en sécurité de bonne foi, mais il faut rester très prudent. D’abord, parce que vous pouvez toujours être poursuivi au civil, par la partie à laquelle la vulnérabilité est signalée, mais aussi parce que la démarcation entre recherche légitime et illégitime en matière de sécurité est encore floue », précise l’avocat.