Paume faciale : Ne craignez rien. Le ministère de la Justice ne vous traquera pas pour avoir trouvé une faille de sécurité ou créé un faux profil Facebook. Il a décidé de suivre les conseils du SCOTUS et de ne pas engager de poursuites fédérales pour violation de la politique de l’entreprise ou du site Web. Selon les nouvelles règles du DoJ, l’utilisation abusive d’un système informatique auquel vous avez un accès autorisé n’est pas passible de poursuites.
Le ministère américain de la Justice (DoJ ou ministère de la Justice) a publié jeudi un communiqué de presse clarifier les crimes relevant de la Loi sur la fraude et les abus informatiques (CFAA). La loi a été adoptée en 1984 et mise à jour en 1986. Cependant, le langage de la législation est si large que les personnes effectuant des recherches sur la sécurité – quelque chose qui existait à peine à l’époque – ou utilisant l’ordinateur de leur entreprise à des fins personnelles pourraient constituer un crime fédéral.
En vertu de la CFAA, toute personne tentant d’accéder à des fichiers, des ordinateurs, des systèmes ou même des sites Web appartenant à quelqu’un d’autre pourrait faire face à des accusations, même si elle a l’autorisation d’utiliser le système. Cependant, le ministère de la Justice dit qu’il ne le fera pas poursuivre « recherche de sécurité de bonne foi », qui est encore vague mais meilleure que la langue d’origine.
Le changement de politique fait suite à une décision de la Cour suprême des États-Unis (SCOTUS) décision en juin de l’année dernière, qui a réduit la portée de la loi. L’affaire impliquait un policier qui avait consulté et vendu des informations sur la plaque d’immatriculation obtenues à partir de l’ordinateur de sa voiture d’escouade. Il a été reconnu coupable et condamné à 18 mois de prison.
Un appel auprès du onzième circuit a confirmé la condamnation, mais le SCOTUS l’a annulée dans une décision 6-3 l’année dernière. Les opinions des juges sont venues au libellé de la loi, qui interdit « d’excéder l’accès autorisé ». La Haute Cour estime que le dépassement de l’accès autorisé est trop large et ne devrait pas couvrir ceux qui utilisent à mauvais escient un système pour lequel ils ont l’autorisation légale d’utiliser. Le tribunal a déclaré qu’il criminalisait une « quantité époustouflante » d’utilisation quotidienne de l’ordinateur.
La Cour suprême a donné plusieurs exemples dans son avis démontrant comment la lettre de la loi pouvait déroger à la couleur de la loi. Tenant compte de ces situations hypothétiques, le DoJ a officiellement publié des changements de politique pour s’assurer qu’il ne dépasserait pas l’objectif de la législation vieille de 36 ans.
« En conséquence, la politique précise que les violations hypothétiques de la CFAA qui ont concerné certains tribunaux et commentateurs ne doivent pas être inculpées », a déclaré le Département. « Embellir un profil de rencontre en ligne contraire aux conditions d’utilisation du site de rencontre ; créer des comptes fictifs sur des sites d’embauche, de logement ou de location ; utiliser un pseudonyme sur un site de réseau social qui les interdit ; consulter des résultats sportifs au travail ; payer des factures à travail ; ou la violation d’une restriction d’accès contenue dans une condition de service ne sont pas en elles-mêmes suffisantes pour justifier des accusations criminelles fédérales. »
Au lieu de cela, la politique se concentrera sur les cas où le défendeur n’est pas entièrement autorisé à accéder ou viole une partie interdite d’un système autrement autorisé. Par exemple, un utilisateur peut accéder à sa messagerie professionnelle et même l’utiliser à mauvais escient, mais pas celle d’un collègue. L’utilisation abusive de son e-mail pourrait violer les politiques de l’entreprise, mais elle ne viole pas le CFAA selon cette nouvelle interprétation.
