"Le département n'a jamais été intéressé à poursuivre en justice la recherche de bonne foi sur la sécurité informatique comme un crime, et l'annonce d'aujourd'hui promeut la cybersécurité en fournissant des éclaircissements aux chercheurs en sécurité de bonne foi qui éliminent les vulnérabilités pour le bien commun", adjoint a déclaré la procureure générale Lisa Monaco dans un communiqué.
Inscription à la newsletter
WSJ Pro Cybersecurity
Actualités, analyses et informations sur la cybersécurité de l'équipe mondiale de journalistes et de rédacteurs du WSJ.
ABONNEZ-VOUS
La politique révisée ordonne aux procureurs fédéraux d'éviter d'intenter des poursuites si des individus accédaient à des ordinateurs pour tester, enquêter ou corriger des vulnérabilités "d'une manière conçue pour éviter tout préjudice aux individus ou au public".
La loi sur la fraude informatique, promulguée en 1986, interdit l'accès à un ordinateur "sans autorisation" ou d'une manière qui "excède l'accès autorisé". Les personnes qui enfreignent la loi peuvent être condamnées à jusqu'à 10 ans de prison.
Les critiques de l'industrie de la cybersécurité affirment que le langage est ambigu et pourrait être utilisé pour poursuivre des activités de routine par des personnes, y compris des pirates informatiques, des chercheurs en technologie ou des utilisateurs qui violent par inadvertance les conditions d'utilisation des plateformes en ligne. Certains avertissent que la menace juridique pourrait également avoir un effet dissuasif sur les chercheurs qui trouvent et signalent des failles logicielles aux développeurs.
Ces dernières années, les autorités fédérales ont cherché à renforcer leurs cybercapacités dans un contexte de forte augmentation des cybermenaces des secteurs public et privé, telles que les ransomwares. Le ministère de la Justice a déclaré jeudi que le changement de politique renforcerait ces efforts en fournissant aux chercheurs en sécurité une clarté juridique.
"Cependant, la nouvelle politique reconnaît que prétendre mener des recherches sur la sécurité n'est pas un laissez-passer pour ceux qui agissent de mauvaise foi", a déclaré le ministère de la Justice.
Le changement apporté à l'agence n'empêche pas les entreprises d'intenter des poursuites civiles contre des chercheurs, ni n'empêche des individus d'être poursuivis en vertu de la loi de l'État. Bien que le Congrès n'ait pas abordé ces aspects de la loi, les tribunaux fédéraux ont commencé à réexaminer son application.
L'année dernière, la Cour suprême a restreint le champ d'application de la loi, jugeant qu'elle ne couvrait pas les cas dans lesquels des personnes utilisent leur accès autorisé à un ordinateur à des fins inappropriées. La décision 6-3 a conclu qu'un officier de police géorgien avait violé la politique de son département - mais n'avait pas enfreint la loi anti-piratage - en exécutant une vérification de plaque d'immatriculation avec une base de données des forces de l'ordre en échange d'argent.
Écrivant dans l'opinion majoritaire dans cette affaire, la juge Amy Coney Barrett a déclaré qu'une lecture large de la loi "entraînerait des sanctions pénales pour une quantité époustouflante d'activités informatiques courantes".
En savoir plus sur WSJ Pro Cybersecurity
Écrivez à David Uberti à david.uberti@wsj.com
