Blog

Qu'est-ce que la loi sur la fraude et les abus informatiques ?

Le Loi sur la fraude et les abus informatiques (CFAA) existe depuis plus de trois décennies, même si elle a été modifiée au fil des ans. Elle reste la loi américaine la plus importante en vigueur pour prévenir la cybercriminalité et a été utilisée dans des cas nombreux et variés à travers le pays.

La loi est conçue principalement pour cibler les pirates informatiques qui accèdent aux ordinateurs pour voler des informations. . Cependant, il a été utilisé dans d’autres situations. Il s’agit d’une loi extrêmement controversée qui a fait l’objet d’un examen minutieux car elle est ouverte à l’interprétation et entraîne des sanctions injustes.

Dans cet article, nous expliquons le CFAA, à quoi il sert et les problèmes liés à sa mise en œuvre. Nous fournirons également des exemples de cas réels dans lesquels la loi a été utilisée pour poursuivre des cybercriminels.

Les origines de la loi sur la fraude et les abus informatiques

L'essentiel de la CFAA est qu'elle interdit d'accéder à un ordinateur sans autorisation , ou au-delà de l'autorisation. Outre des situations évidentes comme le piratage du compte d’une personne, il criminalise également certains actes liés à l’informatique, comme les attaques par déni de service et la distribution de logiciels malveillants.

La première véritable loi mise en place pour lutter contre la criminalité informatique était l'article 1030 de la loi sur le contrôle global de la criminalité de 1984. Cette loi aurait été adoptée en réaction au film Jeux de guerre et d'autres battages médiatiques et inquiétudes concernant les crimes liés à l'informatique à l'époque. Dans le film, un jeune homme déclenche accidentellement la Troisième Guerre mondiale en accédant à un superordinateur militaire américain. Dans son rapport, le comité de la Chambre a estimé que cela 'une représentation réaliste des capacités de numérotation et d'accès automatiques de l'ordinateur personnel.'

Comme le premier du genre, la loi originale avait une portée limitée , et ne traitait que de l'utilisation limitée des ordinateurs à l'époque, d'où la nécessité d'une modification ultérieure. La loi américaine Computer Fraud and Abuse Act (CFAA) a été mise en œuvre en 1986 en tant qu'amendement à l'article 1030 original. Depuis sa mise en œuvre, la CFAA a été modifiée à plusieurs reprises, mais elle présente encore de nombreux problèmes et fait l'objet de nombreuses critiques.

Problèmes avec la CFAA

La CFAA a fait l’objet d’un examen minutieux au fil des années, en partie parce qu’elle est très vague, mais aussi en raison des sanctions presque illimitées auxquelles s’exposent les auteurs d’infractions.

Langage vague

Le problème majeur réside dans le langage utilisé dans la loi, qui ests sujet à une interprétation large . Il interdit d’accéder à un ordinateur « sans autorisation » ou en « dépassant l’accès autorisé », mais il ne définit pas ce qu’est « autorisation ».

De plus, la loi régit les « ordinateurs protégés », qui sont décrits comme « les ordinateurs utilisés dans le cadre du commerce interétatique ou étranger ou affectant celui-ci, ainsi que les ordinateurs utilisés par le gouvernement fédéral et les institutions financières ». Fondamentalement, tous les ordinateurs pourraient appartenir à l’une de ces catégories, avec la bonne interprétation.

De plus, il parle de « l’obtention d’informations », ce qui peut aller du chargement d’une page Web à l’accès à des documents top-secrets.

D'après Tor Ekeland , avocat de la défense, « C’est une loi mal rédigée qui ne définit pas efficacement la principale chose qu’elle cherche à interdire. Il existe des ambiguïtés autour de cette définition qui donnent aux procureurs une grande latitude pour porter des accusations sur la base de théories qui choquent les informaticiens de la communauté de la sécurité informatique. Il compare ensuite la paranoïa à l’égard des hackers à l’hystérie à l’égard de la sorcellerie.

Criminaliser les activités quotidiennes

Parce que cela est très sujet à interprétation, chacun d’entre nous pourrait potentiellement enfreindre la loi au quotidien. Par exemple, il a été débattu que vous utilisiez ou non Facebook au travail (lorsque cela va à l’encontre de la politique de l’entreprise) constitue une violation de la CFAA. Même mentir sur votre âge sur un site Web qui impose une limite d’âge peut être considéré comme une infraction punissable. En fait, faire tout ce qui va à l’encontre des conditions de service en ligne pourrait être considéré comme une violation. Cela signifie qu’en vertu de la loi, vous pourriez théoriquement être condamné à des amendes et à des peines de prison pour ces prétendus crimes.

À part criminaliser certains actes du quotidien du grand public, la loi rend difficile l’exercice de leur travail par de nombreuses personnes. Par exemple, les chercheurs en sécurité pourraient risquer d’être accusés en vertu de la CFAA pour avoir testé la force des mots de passe et recherché des failles de sécurité.

Des pénalités énormes

Une violation de la CFAA peut être considérée comme un crime passible d’amendes et d’une peine de prison pouvant aller jusqu’à dix ans. Mais disons, par exemple, que vous violez les conditions d’utilisation d’un site Web et que vous y accédez plusieurs fois. Cela pourrait être considéré comme de multiples violations de la loi, chacune étant passible d’une durée maximale distincte. Bien que cela semble peu probable, il y a eu des cas dans lesquels les procureurs ont utilisé cela pour exiger des sanctions sévères contre des personnes qui enfreignaient la loi.

La loi d'Aaron

L’un des cas les plus marquants impliquant la CFAA est celui d’Aaron Swartz, un éminent programmeur informatique, entrepreneur et hacktiviste. Il a été inculpé en 2011 en vertu de la CFAA et d’autres lois. Son crime ? Téléchargement en masse d'articles de revues depuis JSTOR (une base de données scientifique), à l'aide d'un ordinateur caché dans un placard du MIT. Il encourt une peine potentielle de 35 ans de prison et de lourdes amendes. Malheureusement, il s'est suicidé en 2013 alors qu'il tentait de parvenir à un accord de plaidoyer.

Aaron Schwartz (Source : Wikimédia Commons )

Cette affaire a attiré beaucoup d'attention en raison de pénalité potentielle apparemment extrêmement injuste . De plus, on ne sait toujours pas exactement ce qu’il envisageait de faire avec les près de 5 millions d’articles qu’il a téléchargés. Quelle que soit l'intention, les critiques de l'affaire soutiennent que le crime ne correspondait pas du tout à la peine.

À la suite de son cas, La loi d'Aaron a été proposé de modifier la CFAA, en particulier la section relative aux violations des conditions de service. Cependant, même si l’amendement compte de nombreux partisans, il a été bloqué à plusieurs reprises et n’a pas été adopté.

Autres exemples de dossiers impliquant la CFAA

Comme mentionné, cette loi a été utilisée dans de nombreux cas pour poursuivre les cybercriminels. Voici quelques exemples :

Le ver Morris : Le premier ver connu à avoir fait des ravages sur les ordinateurs connectés à Internet était le ver Morris, développé par un étudiant diplômé « curieux » , Robert Morris. Il a été l'une des premières personnes à être condamnées en vertu de la CFAA. Il a été accusé d'un crime, mais a réussi à éviter une peine de prison.
Pirate TJX : Albert Gonzalez n’a pas eu cette chance et s'est soldé par une peine de 20 ans de prison prononcée en 2010. Son intention s'est avérée bien plus malveillante, puisqu'il a dirigé un gang de cybervoleurs qui ont volé plus de 90 millions de numéros de cartes de débit et de crédit auprès de divers détaillants, dont TJX.
Journaliste de Reuters : Matthew Keys était condamné à deux ans de prison peine en 2016 après avoir été reconnu coupable en vertu de la CFAA. Il a été accusé d'avoir partagé des informations d'identification qui ont conduit un autre parti à dégrader un titre sur le site Web du LA Times. Cela a entraîné des pertes financières pour la société mère, Tribune Media. Bien que sa peine ait finalement été de deux ans, la peine maximale à laquelle il encourait était de 25 ans. Cette longue durée maximale met en évidence l’un des problèmes majeurs de la loi.
Faux compte Myspace : Lori Drew a été reconnue coupable en vertu de la CFAA après avoir cyberintimidé l’un des ennemis de sa fille adolescente. La jeune fille victime d'intimidation s'est suicidée après que Drew ait utilisé un faux compte Myspace pour la contacter. Cela a violé les conditions d’emploi de l’entreprise, qui permettaient aux procureurs de l’inculper en vertu de la CFAA. Même si la condamnation a été finalement libéré , cela montre à quel point il est ouvert à l’interprétation.

Comme vous pouvez le constater, ce n’est pas une loi dont il faut être blasé, et si les procureurs l’interprètent comme ils le souhaitent, cela pourrait causer de gros problèmes à quiconque se trouve du mauvais côté.

Voir également:
Statistiques sur la cybercriminalité

Crédit image : « Bloguer ' sous licence CC BY 2.0

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.