Le Royaume-Uni et le Portugal cherchent à protéger les pirates informatiques éthiques pour leur permettre de trouver et de signaler des vulnérabilités sans craindre de poursuites.
Le piratage des systèmes informatiques est illégal dans de nombreux pays, même si vous êtes un chercheur en cybersécurité qui cherche comment mieux défendre les systèmes. Mais le Portugal vient d’introduire une exemption pour les chercheurs, et le Royaume-Uni envisage de faire de même.
La semaine dernière, le ministre britannique de la Sécurité, Dan Jarvis, a présenté une nouvelle approche pour lutter contre la criminalité informatique, soulignant les dommages que les failles de sécurité ont causés à l’économie britannique et soulignant l’importance des chercheurs en sécurité informatique. Le lendemain, le parlement portugais a adopté une loi accordant davantage de protection à ce même groupe.
Dans son discours, Jarvis a expliqué comment la loi britannique de 1990 sur l’utilisation abusive des ordinateurs avait perdu son utilité, déclarant : « elle peut laisser de nombreux experts en cybersécurité se sentir limités dans l’activité qu’ils peuvent entreprendre. Ces chercheurs jouent un rôle important en augmentant la résilience des systèmes britanniques et en les protégeant contre des vulnérabilités inconnues. Nous ne devrions pas exclure ces personnes, nous devrions les accueillir ainsi que leur travail. «
Il a poursuivi en disant que le gouvernement cherchait à améliorer la législation actuelle. « Nous envisageons une modification juridique de la loi sur l’utilisation abusive des ordinateurs. Cela créerait une « défense statutaire » permettant à ces chercheurs de repérer et de partager les vulnérabilités, ce qui les protégerait de toute poursuite, à condition qu’ils respectent certaines garanties. «
La législation portugaise offre également un certain degré de protection aux chercheurs en sécurité, à condition qu’ils ne cherchent pas à obtenir un avantage financier et n’enfreignent pas les lois sur la protection des données.
Ces approches mises à jour du Royaume-Uni et du Portugal sont conformes à la protection légale des chercheurs dans d’autres pays ; les Pays-Bas, la France et la Belgique ont tous introduit des lignes directrices similaires.
Les propositions de Jarvis ont été chaleureusement accueillies par l’industrie de la sécurité. Charlotte Wilson, responsable des activités d’entreprise pour le Royaume-Uni et l’Irlande chez Check Point Software, a déclaré que le Computer Misuse Act était obsolète et inadapté à son objectif. « Dans l’état actuel des choses, il traite les chercheurs en sécurité de la même manière que les cybercriminels, même lorsqu’ils agissent de bonne foi pour renforcer les défenses plutôt que de les affaiblir », a-t-elle souligné.
Mais, a-t-elle ajouté, « la solution est relativement simple : créer un espace juridique sûr qui permet aux chercheurs de tester les systèmes et de signaler les vulnérabilités de manière responsable, sans crainte de poursuites. Le Portugal a récemment franchi cette étape importante en introduisant des règles claires pour les tests de bonne foi et un cadre pour la divulgation responsable. Il s’agit d’un modèle pragmatique qui reconnaît le rôle essentiel que jouent les chercheurs dans l’identification et la correction des faiblesses de sécurité et quelque chose que le Royaume-Uni devrait sérieusement envisager d’adopter. »
Wilson a toutefois souligné que les organisations ne devraient pas être entièrement dépendantes de l’action gouvernementale ; les entreprises pourraient également prendre des mesures pour aider les chercheurs. « Ils devraient publier une politique claire de divulgation des vulnérabilités qui décrit comment les chercheurs peuvent signaler les problèmes en toute sécurité, réagir rapidement aux vulnérabilités et définir les limites en étant transparents sur les tests autorisés, la manière de rapporter les résultats et ce que le processus implique. »
Ses opinions ont été reprises par Dray Agha, responsable principal des opérations de sécurité chez Huntress. « Les organisations peuvent soutenir le processus en récompensant la divulgation responsable, en évitant les menaces juridiques impulsives, en participant à des initiatives communautaires et en plaidant pour des réformes qui trouvent le juste équilibre entre la prévention des abus et la possibilité de mener des recherches légitimes », a-t-il déclaré.
Il a ajouté que le gouvernement devrait garantir que les chercheurs soient pleinement protégés, appelant à un organisme de surveillance indépendant pour valider et soutenir la recherche responsable. « Cela pourrait fournir des avis consultatifs rapides, arbitrer les différends en matière de divulgation et émettre des lettres d’assurance afin que les chercheurs ne soient pas exposés lorsque les organisations sont lentes ou peu coopératives. »
Et, a-t-il souligné, les entreprises tardent souvent à divulguer les failles de sécurité, ce qui doit changer. « Les organisations d’utilisateurs devraient être légalement obligées de maintenir un canal de divulgation, d’accuser réception des rapports dans les plus brefs délais et de travailler dans le cadre d’une fenêtre de remédiation définie. Cela allège le fardeau des chercheurs et réduit la zone grise dans laquelle ils se sentent juridiquement en danger », a-t-il déclaré.
Ce sera une douce musique aux oreilles de Dan Jarvis, qui, dans son discours, a souligné la nécessité de la coopération. « Ce travail ne relève pas uniquement de la responsabilité du gouvernement », a-t-il déclaré. « Nous avons besoin d’une approche globale de la société. Nous ne pouvons créer une dissuasion adéquate que par le biais de partenariats, c’est pourquoi le gouvernement et les entreprises travaillent ensemble pour améliorer notre sécurité. Pendant trop longtemps, les entreprises et les politiciens ont cru à tort que les cyber-investissements freinaient la croissance. Mais c’est une erreur. La cybersécurité assure notre sécurité et constitue un facteur clé de la croissance. »
Le discours de Jarvis n’est qu’un précurseur d’une éventuelle législation, mais il est clair que le Royaume-Uni est sur le point de suivre le chemin emprunté par d’autres pays, donnant enfin aux chercheurs en sécurité leur journée au soleil.
