Voatz appelle à des restrictions sur la recherche indépendante en cybersécurité dans un mémoire devant la Cour suprême

La startup de vote par blockchain Voatz a fait valoir que les programmes de primes aux bugs concernant la cybersécurité devraient être exploités sous une supervision stricte dans un mémoire « ami de la cour » devant la Cour suprême des États-Unis (SCOTUS).

Voatz a pesé jeudi surVan Buren c. États-Unis, une affaire de la Cour suprême examinant si le fait pour une personne d’accéder à un ordinateur « à des fins inappropriées » constitue un crime fédéral si cette personne a déjà la permission d’accéder à d’autres fichiers sur cet ordinateur.

Nathan Van Buren, le requérant dans l'affaire, est un ancien policier de Géorgiequi a été accusésous leLoi sur la fraude et les abus informatiques(CFAA) après avoir consulté la plaque d'immatriculation d'une connaissance. Van Buren affirme qu'une décision de première instance confirmant sa condamnation pourrait être interprétée comme signifiant que « toute violation mineure d'un système informatique pourrait constituer un crime fédéral ».

La portée de l'affaire semble s'être élargie, abordant non seulement les violations, mais aussi l'interprétation de la CFAA elle-même. La question figurant dans les mémoires de la Cour suprême est la suivante :

« Les preuves étaient-elles suffisantes pour établir que le requérant, un sergent de police, avait outrepassé son accès autorisé à un ordinateur protégé pour obtenir des informations à des fins lucratives, en violation des articles 18 U.S.C. 1030(a)(2)(C) et (c)(2)(B)(i), lorsqu'en échange d'un paiement en espèces, il a consulté une base de données confidentielle des forces de l'ordre pour savoir si une personne en particulier était un agent de police infiltré. »

Les États-Unis,le répondant, a fait valoir que l'affaire est un « mauvais moyen » pour examiner si la CFAA est trop large, et a déclaré dans son mémoire que l'examen de la Cour suprême n'est même T justifié.

Dans son mémoire, Voatz a déclaré qu'il n'était pas nécessaire de restreindre la portée de la CFAA et que certaines violations de systèmes informatiques étaient nécessaires. Cependant, le cabinet soutient que les chercheurs qui étudient des vulnérabilités potentielles devraient préalablement se renseigner auprès des entreprises qu'ils évaluent et ne procéder qu'avec leur autorisation.

Voir aussi :Voatz et pourquoi nous ne pouvons T encore faire confiance au vote en ligne

« Les programmes de bug bounty sont très efficaces », a écrit Voatz. « Ils sont extrêmement répandus dans le secteur Technologies , et même en dehors de ce secteur, une enquête réalisée en 2019 a révélé que 42 % des entreprises hors secteur Technologies mettaient en place un programme de cybersécurité participatif. »

Le brief peut venir en réponseà un autre dossierPar un groupe de chercheurs en sécurité qui estiment que la CFAA a effectivement été interprétée de manière trop large, ce qui freine les efforts de sécurité informatique. Ce mémoire critique notamment Voatz.

Règles générales

Voatz a notamment fait l’objet de critiques de la part de chercheurs en cybersécurité, notamment de la part deune équipe du MITqui a publié un rapport en février affirmant que Voatz manquait de transparence et que ses systèmes internes présentaient de nombreuses vulnérabilités. Voatz a contesté ces affirmations.

Trail of Bits, une autre société de cybersécurité sollicitée par Voatz pour réaliser un audit de ses systèmes,a confirmé les affirmations des chercheurs du MITdans un rapport ultérieur.

Voatz s’est également directement opposé aux chercheurs.À la fin de l'année dernièreLe procureur américain Mike Stuart du district sud de Virginie-Occidentale a annoncé que le Federal Bureau of Investigation enquêtait sur « une tentative d'intrusion infructueuse » dans Voatz, qui a probablement été causée par un ou plusieurs étudiants de l'Université du Michigan participant à un cours de sécurité.

Dans son mémoire, Voatz a déclaré que « l’activité malavisée des étudiants » avait été signalée aux responsables de Virginie-Occidentale parce que l’entreprise ne pouvait pas faire la distinction entre leurs recherches et une véritable attaque hostile.

« Cependant, quels que soient les détails, l’incident de Virginie-Occidentale illustre les dommages causés par l’attaque ou la « recherche » d’infrastructures critiques sans accès ou autorisation appropriés, en particulier au milieu d’une élection », a écrit Voatz.

Les chercheurs non malveillants qui tentent de pénétrer dans les outils numériques « imposent des coûts supplémentaires importants » aux organisations, indique le mémoire juridique, et pourraient nuire à la confiance du public.

Voir aussi :« Huile de serpent et déchets hors de prix » : pourquoi la blockchain ne résout T le problème du vote en ligne

Jake Williams, fondateur de Rendition Security,a déclaré à CNETqu'une « grande majorité » de chercheurs en cybersécurité n'ont probablement pas d'autorisation, ce qui signifie que le soutien de Voatz à une CFAA large « rendrait la tâche plus difficile à 100 % » pour les chercheurs.

Le dossier de Voatz intervient un jour après celui-cia publié un communiqué de presse Le Parti démocrate du Michigan a affirmé avoir utilisé son application lors d'une récente convention pour voter pour plusieurs postes. Le Parti démocrate du Michigan n'a pas immédiatement répondu à une Request de commentaire.

Des points de vue contraires

Mis à part les arguments de Voatz, son mémoire contient un certain nombre de citations et d’affirmations qui semblent manquer de contexte.

Voatz affirme qu'il a été utilisé lors de 70 élections, y compris des élections nationales et municipales, et affirme dans le mémoire qu'il est considéré comme une « infrastructure critique » par le ministère de la Sécurité intérieure.

Les élections incluent la Virginie-Occidentale (qui a annoncé en mars qu'ellen'utiliserais pas Voatzpour ses prochaines élections) et le comté d'Utah (dont le greffier et l'auditeura reçu un don de campagne de 1 500 $du PDG d'Overstock, Jonathan Johnson, qui est également président de l'investisseur Voatz Medici Ventures).

L'entreprise a déclaré qu'elle répondait aux exigences de Pro V&V, un laboratoire fédéral de test du système de vote, mais selon le journaliste en cybersécurité de Politico, Eric Geller, «le rapport n'a aucun sens« parce que les normes ont été fixées il y a des années et que l’évaluation n’était pas objective.

Eddie Perez, directeur mondial du développement technologique à l'Open Source Election Technologies Institute, a écrit que la Commission d'assistance électorale (EAC), l'entité fédérale qui a accrédité Pro V&V, n'a T réellement de normes nationalespour les systèmes de vote à distance.

Voir aussi :Une faille dans le portefeuille matériel permet aux pirates de conserver des Crypto contre rançon sans toucher l'appareil.

L'EAC elle-mêmea publié une déclarationdéclarant que « ces rapports de test ne doivent pas être considérés comme une approbation implicite par les [laboratoires de test des systèmes de vote] ou par l'EAC que les systèmes évalués sont conformes à la norme [directives volontaires sur les systèmes de vote] ou sont équivalents à un système de vote certifié par l'EAC. »

« Actuellement, ces programmes sont organisés par Voatz elle-même, mais par le passé, certains étaient menés par un prestataire tel que HackerOne Inc. », précise le document. Il ne mentionne pas HackerOne.liens rompusavec Voatz en mars.

De plus, le fondateur et directeur technique de HackerOneAlex Rice a déclaré sur Twitterque « nous soutenons les arguments opposés avancés par » l'Electronic Frontier Foundation (EFF), qui appelle à un rétrécissement de la CFAA, contrairement à Voatz, qui a cité HackerOne dans le mémoire.

De même, Casey Ellis, fondateur et directeur technique de la plateforme de sécurité participative Bugcrowd, que Voatz a citée à plusieurs reprises,a également écritqu’il a approuvé et soutenu le mémoire de l’EFF, et non celui de Voatz.

Rice et Ellis ont tous deux déclaré que Voatz ne les avait pas contactés avant de déposer le mémoire.