Les spécialistes américains de la sécurité ont eu un beau cadeau pour Thanksgiving. En effet depuis le 28 octobre, les exemptions au Digital Millennium Copyright Act (DMCA) sont entrées en vigueur. Elles leur donnent l’autorisation de pirater quand ils agissent « de bonne foi », sans crainte de poursuites, les logiciels qui contrôlent la plupart des objets connectés. Cette permission est accordée pour une période de 2 ans. Il s’agit d’une exemption à l’article 1201 de la DMCA qui interdit le déblocage des logiciels sans le consentement du fabricant et le propriétaire du copyright.
Si la félicité des experts en sécurité est compréhensible, ce droit au piratage conserve quelques contraintes et un périmètre encadré. Ainsi, l’expérimentation ne concerne pas les infrastructures critiques, les avions et les équipements hospitaliers. De même, les recherches doivent être réalisées à des fins de sécurité ou de réparation et dans un environnement sécurisé pour éviter que les méthodes utilisées soient publiées. Le matériel testé doit avoir été légalement acquis et les recherches doivent respecter les autres lois.
Pour l’EFF (Electronic Freedom Foundation), ce droit a été retardé par des édiles du Congrès et l’Office de Brevets américains. Ils craignaient que cette ouverture n’entraîne « une augmentation des activités illégales allant du vol de voitures, l’espionnage, la destruction de l’environnement et la violation des règles de sécurité ». En conséquence, au lieu de 2 ans, les chercheurs auraient pu bénéficier d’une durée de 3 ans pour leurs recherches.
Pour les spécialistes de la sécurité, cette fenêtre de deux ans sera bénéfique. Interrogé par nos confrères de CSE, Harley Geiger, directeur du développement produit chez Rapid7, indique que les travaux « conduiront à une coopération renforcée entre les chercheurs et les fournisseurs qui, en définitive, protègera le grand public et professionnels ». Pour Sam Curry, chef de produit chez Cybereason, « un des principes fondateurs de la sécurité est que le travail en secret ne fonctionne pas. Plus la mécanique de nos recherches est transparente et ouverte, meilleure est la perspective pour la sécurité ». Et d’ajouter à l’attention des constructeurs automobiles, « Microsoft a appris cette leçon, Oracle a appris cette leçon, EMC a appris cette leçon, pourquoi pas Ford, BMW et Toyota ».
A lire aussi :
Sécurité et IoT : pourquoi le pire est encore à venir
L’industrie de l’IoT fait route vers un standard commun
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.