La recherche sur la sécurité de « bonne foi » doit être protégée des bourdes juridiques Les entreprises de sécurité et l’Electronic Frontier Foundation (EFF) font pression pour la réforme du Digital Millennium Copyright Act (DCMA) afin de protéger la recherche sur la sécurité de l’information « de bonne foi ». DMCA, section 1201 – dispositions dans la loi américaine controversée sur l’application des droits d’auteur relative au contournement des systèmes de prévention de la copie – « jeter une ombre sur la recherche en matière de sécurité » en supprimant le développement d’outils et de logiciels nécessaires pour tester les contrôles de sécurité. Ces soi-disant « outils de contournement » sont souvent nécessaires pour trouver et corriger les vulnérabilités logicielles, mais l’article 1201 du DMCA s’efforce de supprimer les logiciels et les outils nécessaires à cette recherche, selon les critiques de la loi. Les exemptions spécifiques écrites dans la loi couvrent la recherche gouvernementale et l’ingénierie inverse, bien que les critiques soutiennent que cela est inadéquate, une réforme plus profonde est donc nécessaire.
Soutien de l’industrie
L’EFF et plus de 20 sociétés de sécurité demandent aux législateurs de réformer l’article 1201 pour « autoriser la fourniture et l’utilisation d’outils de recherche sur la sécurité à des fins de recherche de bonne foi ». Les entreprises de sécurité soutenant l’EFF dans une déclaration exposant leurs objections au DMCA comprennent Bishop Fox, Bugcrowd, HackerOne, McAfee, NCC Group et Rapid7, entre autres.Tenez-vous au courant des dernières nouvelles sur la politique et la législation en matière de cybersécuritéLe processus de réforme, même s’il est finalement couronné de succès, peut prendre un certain temps, de sorte que les critiques du DMCA exhortent également les entreprises et les procureurs à s’abstenir d’utiliser l’article 1201 pour cibler inutilement les outils utilisés pour la recherche en matière de sécurité dans l’intervalle. Le DMCA comprend des dispositions. qui interdisent le développement ou le partage d’outils qui contournent les mesures de protection technologiques (comme le contournement des informations d’identification par défaut partagées et un cryptage faible) afin d’accéder à des logiciels protégés par le droit d’auteur sans l’autorisation du propriétaire du logiciel. « Cela crée un risque de poursuites privées et de sanctions pénales pour des organisations indépendantes qui fournissent des technologies aux chercheurs qui peuvent aider à renforcer la sécurité des logiciels et à protéger les utilisateurs », soutiennent les signataires de la déclaration. « Les chercheurs en sécurité de bonne foi dépendent de ces outils pour tester les failles de sécurité et les vulnérabilités des logiciels, pour ne pas enfreindre le droit d’auteur.
Objections concernant les retraits
Depuis l’entrée en vigueur de la loi, en 1998, il y a eu de nombreux incidents sur plusieurs plates-formes où les chercheurs en sécurité ont reçu des avis les accusant d’héberger du contenu qui contrevenait au DMCA. Cette menace peut être légitimement dirigée contre des articles de blog, des vidéos YouTube, des référentiels GitHub. et plus. Google, par exemple, autorise les destinataires des réclamations DMCA à déposer des demandes reconventionnelles et potentiellement à ce que les pages soient restaurées sur les résultats des moteurs de recherche. Cependant, les chercheurs en sécurité manquent souvent de l’assistance juridique, du temps ou d’autres ressources nécessaires pour s’opposer avec succès aux avis de retrait. Loi sur la fraude et les abus : ce que signifie la décision « historique » de Van Buren pour les chercheurs en sécurité Ollie Whitehouse, directeur de la technologie chez NCC Group et directeur non exécutif de PortSwigger, a déclaré au Daily Swig que les problèmes avec le DMCA s’étendaient au-delà de son utilisation abusive en tant que retrait de contenu mécanisme. « Le problème est que le DMCA est utilisé comme un outil juridique pour faire taire et/ou empêcher la distribution d’outils par des chercheurs en sécurité de bonne foi », a expliqué Whitehouse. « Comme nous le savons, la recherche en sécurité peut être une vérité inconfortable pour certains fournisseurs, mais nous profite à tous. « L’utilisation du DMCA de cette manière n’est pas ce qui était prévu et il est donc nécessaire de s’assurer qu’il n’est pas utilisé de cette manière », a-t-il conclu..RELATED Insider PhD : une chaîne éducative sur le piratage a été suspendue de YouTube pour des violations « graves » des directives