Aux US, un droit au piratage de l’IoT ouvert aux chercheurs

Depuis le 28 octobre, les chercheurs en sécurité ont le droit de pirater légalement les logiciels contrôlant les objets connectés. Un droit valable pendant 2 ans avec des limitations.

Les spécialistes américains de la sécurité ont eu un beau cadeau pour Thanksgiving. En effet depuis le 28 octobre, les exemptions au Digital Millennium Copyright Act (DMCA) sont entrées en vigueur. Elles leur donnent l’autorisation de pirater quand ils agissent « de bonne foi », sans crainte de poursuites, les logiciels qui contrôlent la plupart des objets connectés. Cette permission est accordée pour une période de 2 ans. Il s’agit d’une exemption à l’article 1201 de la DMCA qui interdit le déblocage des logiciels sans le consentement du fabricant et le propriétaire du copyright.

Si la félicité des experts en sécurité est compréhensible, ce droit au piratage conserve quelques contraintes et un périmètre encadré. Ainsi, l’expérimentation ne concerne pas les infrastructures critiques, les avions et les équipements hospitaliers. De même, les recherches doivent être réalisées à des fins de sécurité ou de réparation et dans un environnement sécurisé pour éviter que les méthodes utilisées soient publiées. Le matériel testé doit avoir été légalement acquis et les recherches doivent respecter les autres lois.

Une ouverture retardée, mais aux bénéfices attendus

Pour l’EFF (Electronic Freedom Foundation), ce droit a été retardé par des édiles du Congrès et l’Office de Brevets américains. Ils craignaient que cette ouverture n’entraîne « une augmentation des activités illégales allant du vol de voitures, l’espionnage, la destruction de l’environnement et la violation des règles de sécurité ». En conséquence,  au lieu de 2 ans, les chercheurs auraient pu bénéficier d’une durée de 3 ans pour leurs recherches.

Pour les spécialistes de la sécurité, cette fenêtre de deux ans sera bénéfique. Interrogé par nos confrères de CSE, Harley Geiger, directeur du développement produit chez Rapid7, indique que les travaux « conduiront à une coopération renforcée entre les chercheurs et les fournisseurs qui, en définitive, protègera le grand public et professionnels ». Pour Sam Curry, chef de produit chez Cybereason, « un des principes fondateurs de la sécurité est que le travail en secret ne fonctionne pas. Plus la mécanique de nos recherches est transparente et ouverte, meilleure est la perspective pour la sécurité ». Et d’ajouter à l’attention des constructeurs automobiles, « Microsoft a appris cette leçon, Oracle a appris cette leçon, EMC a appris cette leçon, pourquoi pas Ford, BMW et Toyota ».

A lire aussi :

Sécurité et IoT : pourquoi le pire est encore à venir

L’industrie de l’IoT fait route vers un standard commun

Crédit Photo : Visual Hunt