SCOTUS affine l’interprétation du CFAA, au grand soulagement des hackers éthiques
Français
Les personnes qui ont obtenu l’autorisation officielle d’accéder à un ordinateur, un système ou un site Web n’ont pas illégalement outrepassé leurs pouvoirs en vertu de la loi fédérale sur la fraude et les abus informatiques (CFAA) s’ils obtiennent des informations du système ou du site pour des raisons non autorisées, selon une décision rendue aujourd’hui par la Cour suprême des États-Unis.
L’interprétation de la loi pourrait servir à isoler les pirates informatiques, les chasseurs de bogues et les testeurs d’intrusion d’une sanction pénale ou civile si, dans le cadre de leur travail autorisé, ils effectuent une action considérée comme hors de portée contractuelle. D’un autre côté, certains défenseurs de la vie privée pourraient être déçus que les forces de l’ordre fédérales ne soient pas en mesure d’utiliser la CFAA comme outil pour dissuader l’utilisation abusive délibérée de l’accès autorisé aux données.
Le verdict correspond à l’affaire Van Buren c. États-Unis, centrée sur la condamnation de Nathan Van Buren, un policier de Géorgie qui, en échange d’un pot-de-vin, a utilisé son accès à une base de données des forces de l’ordre pour rechercher une plaque d’immatriculation. informations pour une connaissance. Bien que Van Buren ait été autorisé à accéder à la base de données, il a été accusé de fraude informatique en vertu de la CFAA parce que ses actions n’entraient pas dans le cadre de son travail.
Les avocats des États-Unis ont fait valoir que le langage incorporé dans la loi de 1986 suggère que les personnes commettent une fraude informatique lorsqu’elles accèdent aux données auxquelles elles ont normalement droit, mais le font en dehors des conditions d’utilisation convenues. Cependant, six des neuf juges ont rejeté cet argument, renversant ainsi la décision précédente de la Cour d’appel du onzième circuit des États-Unis.
La juge Amy Coney Barrett a adopté ce qu’elle a appelé une approche en noir et blanc « portes en haut ou en bas » : soit vous êtes autorisé à accéder aux systèmes et aux données, soit vous ne l’êtes pas. Les circonstances au-delà de cela ne devraient pas être prises en considération, a-t-elle expliqué.
“Cette disposition couvre ceux qui obtiennent des informations à partir de zones particulières de l’ordinateur – telles que des fichiers, des dossiers ou des bases de données – auxquelles leur accès informatique ne s’étend pas”, a écrit Barrett dans sa décision majoritaire. “Cela ne couvre pas ceux qui, comme Van Buren, ont des motifs inappropriés pour obtenir des informations qui leur sont autrement disponibles.”
Cela devrait être un soulagement pour les parties concernées par le fait que l’imprécision de la CFAA a donné aux procureurs fédéraux trop de latitude pour inculper des travailleurs ou des pirates éthiques de crimes informatiques pour des violations inoffensives des conditions d’utilisation.
« Étant donné que la Cour a indiqué dans la décision Van Buren qu’une interprétation plus étroite de la CFAA est appropriée, je pense qu’en général, il sera plus difficile de poursuivre les violations de la loi à moins qu’il n’y ait une preuve claire que le défendeur n’était pas autorisé à accéder aux systèmes informatiques pertinents », a déclaré Dawn Mertineit, associée du cabinet d’avocats Seyfarth Shaw.
“Je ne suis pas surpris. Je pense que le fait que cette loi prévoie des sanctions civiles et pénales signifiait que la Cour allait adopter une vision étroite du langage «dépasse l’autorisation» », a poursuivi Mertineit. «Pour les employeurs, le langage plus large était préférable car il donnait plus de latitude pour porter plainte devant un tribunal fédéral pour utilisation abusive d’informations confidentielles, mais ce n’est pas un choc que la majorité ait été influencée par l’argument de Van Buren selon lequel l’interprétation du gouvernement criminaliserait la conduite engagée dans par des millions d’Américains.
En effet, Jeffrey Fisher, l’avocat représentant Van Buren, avait fait valoir devant la Cour en décembre dernier que des individus pourraient éventuellement être poursuivis pour avoir utilisé un ordinateur portable d’entreprise à des fins personnelles ou pour avoir ignoré des instructions écrites ou verbales sur la façon d’interagir avec un site Web ou un système informatique particulier.
Barrett elle-même a écrit dans sa décision que de nombreux sites Web, services et bases de données « n’autorisent l’accès d’un utilisateur que s’il accepte de suivre des conditions d’utilisation spécifiées ». Mais « si la clause ‘dépasse l’accès autorisé’ englobe les violations des restrictions d’accès basées sur les circonstances sur les ordinateurs des employeurs, il est difficile de voir pourquoi elle n’inclurait pas également les violations de ces restrictions sur les ordinateurs des fournisseurs de sites Web », ce qui « criminaliserait tout ». de l’embellissement d’un profil de rencontre en ligne à l’utilisation d’un pseudonyme sur Facebook.
Les avocats américains ont fait valoir que le gouvernement n’abuserait pas de la CFAA de cette manière et qu’un libellé supplémentaire dans le statut réduirait sa capacité à poursuivre une telle activité. Mais Barrett a exprimé son scepticisme, notant que le gouvernement “s’arrête loin d’approuver de telles limitations”.
“Au contraire, la politique actuelle du gouvernement en matière de tarification CFAA montre pourquoi les préoccupations de Van Buren sont loin d’être hypothétiques”, a-t-elle déclaré.
“Nous sommes ravis que la Cour suprême ait reconnu aujourd’hui qu’une application trop large de la CFAA risque de transformer presque n’importe quel utilisateur d’Internet en un criminel sur la base de conditions de service arbitraires”, a proclamé le groupe de droits numériques Electronic Frontier Foundation, dans un communiqué en ligne. L’EFF a en outre affirmé que la CFAA avait été adoptée avec l’intention « d’interdire les cambriolages d’ordinateurs qui perturbaient ou détruisaient les fonctionnalités de l’ordinateur, et non quelque chose que le fournisseur de services ne voulait tout simplement pas qu’il se produise » – de peur que les chercheurs en sécurité informatique risque juridique de se livrer à des tests de sécurité socialement bénéfiques par le biais de pratiques de recherche de sécurité standard, telles que l’accès aux données accessibles au public d’une manière bénéfique pour le public, mais interdite par le propriétaire des données.
Casey Ellis, fondateur, président et directeur technique de Bugcrowd, a également exprimé sa satisfaction. “Avec cette décision, la Cour suprême a effectivement mis un terme à tout nouvel élargissement de la portée de la loi sur la fraude et les abus informatiques”, a-t-il déclaré. « Je pense que la décision de limiter la portée du CFAA protégera considérablement les chercheurs. S’il avait été étendu et qu’ils devaient soudainement faire face à la menace d’une action en justice pour récupérer des données accessibles au public en utilisant des méthodes bénéfiques pour le public mais interdites par le propriétaire des données, nous aurions été sur une pente très glissante. “
Moins satisfait, cependant, est l’Electronic Privacy Information Center (EPIC), qui avait déjà déposé un mémoire d’amicus affirmant que les actions de Van Buren constituaient une atteinte importante à la vie privée – exactement contre quoi la CFAA est censée se protéger. « La CFAA protège les données personnelles sensibles et doit être interprétée conformément à cet objectif », indiquait alors le mémoire. « Nous avons plus que jamais besoin que la CFAA soit un contrôle supplémentaire contre les abus des personnes chargées d’accéder aux données et aux systèmes sensibles. » SC Media a contacté EPIC pour obtenir des commentaires sur la dernière décision, mais n’a pas eu de réponse.
Dans une dissidence écrite, le juge Clarence Thomas a soutenu qu’il est de bon sens d’incorporer des circonstances pour juger si un utilisateur dépasse l’accès non autorisé.
« La question ici est simple : un lecteur ordinaire de langue anglaise comprendrait-il que Van Buren a ‘dépassé[ed] accès autorisé » à la base de données lorsqu’il l’utilisait dans des circonstances expressément interdites ? À mon avis, la réponse est oui », a écrit Thomas. “La condition préalable nécessaire qui lui a permis d’obtenir ces données était absente.”
« Les droits dépendent nécessairement des circonstances ; une personne n’a le droit de faire quelque chose que lorsque des « motifs appropriés » ou des faits sont en place », a poursuivi Thomas. Thomas a été rejoint dans sa dissidence par les juges John Roberts et Samuel Alito, tandis que la majorité était représentée par les juges Stephen Breyer, Sonia Sotomayor, Elena Kagan, Neil Gorsuch et Brett Kavanaugh.
