Les spécialistes américains de la sécurité ont eu un beau cadeau pour Thanksgiving. En effet depuis le 28 octobre, les exemptions au Digital Millennium Copyright Act (DMCA) sont entrées en vigueur. Elles leur donnent l’autorisation de pirater quand ils agissent « de bonne foi », sans crainte de poursuites, les logiciels qui contrôlent la plupart des objets connectés. Cette permission est accordée pour une période de 2 ans. Il s’agit d’une exemption à l’article 1201 de la DMCA qui interdit le déblocage des logiciels sans le consentement du fabricant et le propriétaire du copyright.
Si la félicité des experts en sécurité est compréhensible, ce droit au piratage conserve quelques contraintes et un périmètre encadré. Ainsi, l’expérimentation ne concerne pas les infrastructures critiques, les avions et les équipements hospitaliers. De même, les recherches doivent être réalisées à des fins de sécurité ou de réparation et dans un environnement sécurisé pour éviter que les méthodes utilisées soient publiées. Le matériel testé doit avoir été légalement acquis et les recherches doivent respecter les autres lois.
Pour l’EFF (Electronic Freedom Foundation), ce droit a été retardé par des édiles du Congrès et l’Office de Brevets américains. Ils craignaient que cette ouverture n’entraîne « une augmentation des activités illégales allant du vol de voitures, l’espionnage, la destruction de l’environnement et la violation des règles de sécurité ». En conséquence, au lieu de 2 ans, les chercheurs auraient pu bénéficier d’une durée de 3 ans pour leurs recherches.
Pour les spécialistes de la sécurité, cette fenêtre de deux ans sera bénéfique. Interrogé par nos confrères de CSE, Harley Geiger, directeur du développement produit chez Rapid7, indique que les travaux « conduiront à une coopération renforcée entre les chercheurs et les fournisseurs qui, en définitive, protègera le grand public et professionnels ». Pour Sam Curry, chef de produit chez Cybereason, « un des principes fondateurs de la sécurité est que le travail en secret ne fonctionne pas. Plus la mécanique de nos recherches est transparente et ouverte, meilleure est la perspective pour la sécurité ». Et d’ajouter à l’attention des constructeurs automobiles, « Microsoft a appris cette leçon, Oracle a appris cette leçon, EMC a appris cette leçon, pourquoi pas Ford, BMW et Toyota ».
A lire aussi :
Sécurité et IoT : pourquoi le pire est encore à venir
L’industrie de l’IoT fait route vers un standard commun
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…