 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| Royaume-Uni : les professionnels de la sécurité tous criminels ? |
| Un projet de réforme de la loi britannique "Computer Misuse Act" veut s'attaquer à la recrudescence de la cybercriminalité. Ce faisant, il risque notamment de rendre illégaux certains outils de sécurité informatique.
(31/05/2006) |
|
Une nouvelle menace pèserait-elle sur les professionnels de la sécurité informatique au Royaume-Uni ? C'est ce que l'on peut se demander, au vu de l'actuel projet de réforme du Computer Misuse Act (CMA) qui pourrait rendre illégales leurs activités.
Le Computer Misuse Act est une loi britannique de 1990 qui réglemente les activités informatiques criminelles. Ce texte définit notamment dans ses articles 1 à 3 les cas considérés comme délictueux, comme par exemple l'intrusion non autorisée dans une machine ou un réseau.
Le projet de réforme - qui vient tout juste d'être voté par la Chambre des Communes et qui doit être examiné par la Chambre des Lords d'ici deux mois - considère, dans sa section 41, comme coupable de délit toute personne "qui crée, adapte, fournit ou propose un outil ayant pour objet, ou susceptible d'avoir pour objet, une infraction au sens des articles 1 à 3 de la présente loi ; ou que cette personne pense que cet outil pourrait être utilisé à cette fin [par un tiers]", se rendant de fait complice de cybercriminels.
Le risque n'est donc pas tant dans le délit en lui-même mais la possibilité qu'aurait un produit d'en permettre l'accomplissement. Cette définition très "extensive" est dénoncée par nombre d'experts car de nombreux outils ou services de sécurité informatiques sont potentiellement concernés, bien que leur utilité première ne soit - bien entendu - pas criminelle.
Aux premières loges : les langages de développement. Le langage Perl, par exemple, mis au point par Larry Wall, est un précieux langage de script depuis presque 20 ans. Il est utilisé quotidiennement notamment autour de l'Internet. Mais il a également servi au développement d'outils malveillants. De fait, il pourrait entrer dans le champ d'application de la loi : Larry Wall deviendrait alors un criminel au sens de la section 41.
De même, les éditeurs de logiciels de repérage de vulnérabilités réseau : leurs produits permettent d'identifier les vulnérabilités et peuvent donc potentiellement servir à l'attaque desdits réseaux.
| L'intention de nuire restera le critère déterminant |
Pour le Dr Richard Clayton de l'université de Cambridge, cité par nos confères britanniques de Silicon.com, l'effet pervers de cette disposition législative sera de décourager les professionnels de la sécurité informatique de proposer des solutions contre les nouveaux risques laissant la porte ouvertes aux vrais hackers et autres pirates. Elle aura donc l'exact effet inverse que celui escompté.
Des réseaux de lobbying sont en cours d'organisation pour tenter de faire supprimer cet article dont la portée est, à leur sens, beaucoup trop importante. Un porte-parole du Ministère de l'Intérieur britannique a de son côté tenté d'apaiser leurs inquiétudes en précisant que l'amendement du Computer Misuse Act en cours de validation au Parlement n'avait pour seul but que de "punir les comportements manifestement criminels".
C'est également l'avis de Michel Lanaspèze, Consultant pour l'éditeur britannique de solutions de sécurité Sophos : "Il est difficile de créer une loi qui distingue le bon du mauvais sur des critères purement techniques. Dans le domaine des codes malveillants, l'intention est souvent le critère déterminant".
Il poursuit : "Si la loi est votée par la Chambres des Lords, il reviendra aux juges de se prononcer au cas par cas sur l'intention. Leur motivation ne sera très probablement pas de bannir des outils que toute l'industrie de la sécurité estime légitime". Les professionnels de la sécurité ne semblent donc pas très inquiets ni enclins à abandonner un marché florissant.
|
| |
| |
|
|
|
|
|
|
