Les spécialistes américains de la sécurité ont eu un beau cadeau pour Thanksgiving. En effet depuis le 28 octobre, les exemptions au Digital Millennium Copyright Act (DMCA) sont entrées en vigueur. Elles leur donnent l’autorisation de pirater quand ils agissent « de bonne foi », sans crainte de poursuites, les logiciels qui contrôlent la plupart des objets connectés. Cette permission est accordée pour une période de 2 ans. Il s’agit d’une exemption à l’article 1201 de la DMCA qui interdit le déblocage des logiciels sans le consentement du fabricant et le propriétaire du copyright.
Si la félicité des experts en sécurité est compréhensible, ce droit au piratage conserve quelques contraintes et un périmètre encadré. Ainsi, l’expérimentation ne concerne pas les infrastructures critiques, les avions et les équipements hospitaliers. De même, les recherches doivent être réalisées à des fins de sécurité ou de réparation et dans un environnement sécurisé pour éviter que les méthodes utilisées soient publiées. Le matériel testé doit avoir été légalement acquis et les recherches doivent respecter les autres lois.
Pour l’EFF (Electronic Freedom Foundation), ce droit a été retardé par des édiles du Congrès et l’Office de Brevets américains. Ils craignaient que cette ouverture n’entraîne « une augmentation des activités illégales allant du vol de voitures, l’espionnage, la destruction de l’environnement et la violation des règles de sécurité ». En conséquence, au lieu de 2 ans, les chercheurs auraient pu bénéficier d’une durée de 3 ans pour leurs recherches.
Pour les spécialistes de la sécurité, cette fenêtre de deux ans sera bénéfique. Interrogé par nos confrères de CSE, Harley Geiger, directeur du développement produit chez Rapid7, indique que les travaux « conduiront à une coopération renforcée entre les chercheurs et les fournisseurs qui, en définitive, protègera le grand public et professionnels ». Pour Sam Curry, chef de produit chez Cybereason, « un des principes fondateurs de la sécurité est que le travail en secret ne fonctionne pas. Plus la mécanique de nos recherches est transparente et ouverte, meilleure est la perspective pour la sécurité ». Et d’ajouter à l’attention des constructeurs automobiles, « Microsoft a appris cette leçon, Oracle a appris cette leçon, EMC a appris cette leçon, pourquoi pas Ford, BMW et Toyota ».
A lire aussi :
Sécurité et IoT : pourquoi le pire est encore à venir
L’industrie de l’IoT fait route vers un standard commun
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…