Barack Obama veut muscler le droit de la cybersécurité

Le président Barack Obama a proposé une réforme des textes encadrant les nouvelles technologies en général, et la cybercriminalité en particulier. Le chantier suscite cependant beaucoup d’inquiétudes outre-Atlantique, notamment dans les rangs de l'Electronic Frontier Foundation.

Dans ce texte qui doit être validé par le pouvoir législatif, l’exécutif américain compte réformer le Computer Fraud and Abuse Act qui fut voté par le Congrès en 1986. Le CFAA sanctionne par plusieurs biais ceux qui accèdent sans autorisation à un système informatique, de manière intentionnelle, en cassant ou contournant des barrières techniques. Sa philosophie se rapproche ainsi de la lettre de la loi Godfrain contre le piratage informatique en France.

Une trop forte subjectivité ?

Dans le projet de loi révélé par la Maison-Blanche, on passe cependant à la vitesse supérieure. Déjà, les peines seront doublées passant de 5 ans d’emprisonnement à 10 ans. De plus, il dépoussière la notion de piratage informatique. Normalement, celui-ci exige d’agir sciemment, avec l’intention de frauder, d’accéder à un ordinateur protégé, sans autorisation ou en excédant ses autorisations.

Justement. Le texte d'Obama ouvre une définition très large de cette dernière expression. Elle embrasserait l'hypothèse où une personne entre dans un système « dans un but qu'elle sait ne pas être autorisé par le propriétaire ». Le problème, souligné par Ars Technica, est que ces dispositions ajouteraient là une trop forte dose de subjectivité et donc du flou voire d'application industrialisée.

Contre la cybercriminalité

Selon la Maison-Blanche, cependant, « l’effectivité de la loi doit bénéficier d’outils spécifiques pour enquêter, perturber et poursuivre le cybercrime ». Une remarque qui fait bondir l’Electronic Frontier Foundation : « les deux dernières années de révélations [Snowden, NDLR] ont montré que l’application de la loi n’a certainement pas besoin d’un surplus de dispositions légales pour organiser la surveillance ou poursuivre les auteurs des infractions ».

Ce rafraichissement législatif intervient cependant après le piratage monstre dont a été victime Sony Pictures Entertainment. Selon le New York Times, le président a déclaré lors de la présentation de ce chantier que la récente attaque visant les comptes Twitter et YouTube du Commandement central de l’armée justifierait la nécessité d’une telle réforme. Une attaque justement intervenue alors que le président déroulait l’ensemble de ses mesures… « Si nous voulons être connectés, alors nous avons besoin d’être protégés » a-t-il insisté.

Faciliter les échanges d’informations

Dans son discours de présentation, Obama a encore annoncé que le texte allait tout autant faciliter les échanges d’informations liées à la cybersécurité (menaces, etc.) entre le secteur privé et le NCCIC (Security’s National Cybersecurity and Communications Integration Center, du département de la sécurité intérieure).

Il est aussi envisagé de créer une infraction spécifique contre la vente de botnets, ou celui qui fera commerce à l’étranger d’informations sensibles de citoyens américains (compte bancaire, numéro de carte bleue, etc.). La portée de la loi fédérale sera également étendue dans l’espace afin de sanctionner, à cet échelon, le marché des spywares. Les tribunaux seraint également mieux armé pour contrer juridiquement les attaques de type DDoS (sanctions, etc.).

Avec le Personal Data Notification and Protection Act, la loi fédérale compte tout autant unifier les procédures d’alerte destinées aux consommateurs en cas de faille de sécurité malmenant leurs données personnelles. Les entreprises auraient ainsi 30 jours pour leur signaler une telle défaillance, ce qui permettra de prendre des mesures adéquates (changement de mot de passe, etc.). L’EFF, qui attend la version concrète du texte, espère surtout que le gouvernement s’inspirera à plein nez de la loi californienne, très protectrice, et ne s’acheminera pas, au contraire, vers un dispositif moins transparent.

La plupart de ces mesures seraient cependant des propositions déterrées du passé, juge toujours l’EFF. Pour elle, si la priorité est bien le partage d’informations, elle devrait surtout s’étendre « sur la façon dont les services du renseignement collectent et utilisent les données de nos réseaux ».