Dépréciation : Les chercheurs en sécurité critiquent Voatz pour sa position sur les hackers white hat

Une affaire en instance devant la Cour suprême des États-Unis pourrait transformer radicalement le piratage informatique dit « white hat ». Cette affaire, LOOKS sur la loi sur la fraude et les abus informatiques (CFAA), pourrait déterminer si les chercheurs en sécurité de bonne foi, également appelés « white hat hackers », sont passibles de sanctions pénales pour avoir étudié les vulnérabilités des systèmes.

Si une interprétation large de la CFAA est décidée, cela aurait un impact non seulement sur la Technologies blockchain, les échanges et la Crypto, mais sur le domaine de la recherche en sécurité dans son ensemble.

Et puis, la société de vote blockchain Voatz est entrée dans le débat.

Van Buren c. États-Unis

La Cour suprême entend actuellement l'affaire Van Buren c. États-Unis, dans laquelle un ancien policier de Géorgie a été condamné en vertu de la CFAA pourrechercher une plaque d'immatriculationdans une base de données des forces de l'ordre en échange d'argent. L'accusation portée en vertu de la CFAA portait sur la définition de ce qui « outrepasse l'accès autorisé », notoirement vague.

La CFAA est une loi anti-piratage informatique entrée en vigueur en 1986. Si le tribunal se rallie à une interprétation large de la loi (comme le soutient le gouvernement), cela pourrait avoir un effet dissuasif sur d'importantes recherches en matière de sécurité, selon les experts.

Une interprétation large permettrait aux entreprises de définir ce que signifie « accès autorisé » dans leurs conditions de service, plutôt que de mettre en place une barrière technique (comme un mot de passe) dans un système qui alerterait les chercheurs en sécurité lorsqu’ils sont allés trop loin.

Entrez Voatz

Voatz a fait l’objet à plusieurs reprises de recherches critiques en matière de sécurité,que CoinDesk a déjà documenté. Dans un cas, des étudiants du MIT ont procédé à la rétro-ingénierie de l'application Voatz et ont découvert des failles de sécurité. Voatz a d'abord réfuté ces conclusions, bien que certains problèmes aient été confirmés ultérieurement par Trail of Bits, une société de sécurité engagée par Voatz. L'entreprise est même allée jusqu'à signaler l'étudiant chercheur en sécurité aux autorités de l'État pour « activité non autorisée » présumée en vertu de la CFAA.

L'Electronic Frontier Foundation (EFF) a critiqué Voatz nommément dans unmémoire déposé auprès du tribunal, comme exemple d'entreprise adoptant une approche agressive envers les chercheurs en sécurité de bonne foi. Voatz a également signalé un étudiant de l'Université du Michigan au FBI « parce que cet étudiant avait mené des recherches sur l'application de vote mobile de Voatz dans le cadre d'un cours de premier cycle sur la sécurité électorale », selon le dossier.

Voatz a depuis déposé un mémoire d'amicus curiae dans l'affaire Van Buren (à laquelle il n'est pas partie), plaidant pour que la portée de la CFAA reste large. Il a suggéré que les hackers white hat ne mènent leurs investigations sur les vulnérabilités potentielles qu'après avoir alerté l'entreprise qu'ils évaluent et obtenu son aval.

De telles pratiques ne sont pas courantes dans la communauté de la sécurité, même si les pirates informatiques white hat alertent les entreprises des vulnérabilités si elles sont découvertes.

Les chercheurs en sécurité ripostent

En réponse au dépôt de plainte de Voatz, un grand nombre de chercheurs et d’organisations en sécuritéa écrit une lettre ouvertede corriger publiquement le dossier.

La lettre a été lancée parCâble Jack, ONEun des meilleurs hackers éthiques au monde. Cable est également étudiant à l'Université de Stanford et « effectue un travail remarquable » dans le domaine de la cybersécurité et des élections, selon Reed Loden, responsable de la sécurité open source chez HackerOne, une plateforme qui avait précédemment coupé les ponts avec Voatz et dont le fondateur était signataire de la lettre. C'était la première fois que HackerOne supprimait une entreprise qui l'utilisait pour héberger un programme de chasse aux bugs.

« Nous voulions préciser que la position de Voatz n'est pas soutenue par la communauté des chercheurs en cybersécurité et en sécurité, souligner que les chercheurs en sécurité contribuent grandement à la sécurité de notre société numérique et souligner qu'une interprétation large de la CFAA, que préconise Voatz, menace les activités de recherche en sécurité au niveau national », a déclaré Loden dans un courriel.

La lettre expose les raisons pour lesquelles le dossier de Voatz était prétendument égoïste et montre comment des entreprises comme Voatz pourraient utiliser une interprétation large de la CFAA pour réprimer davantage les chercheurs en sécurité essentiels.

Voatz n'a pas répondu aux demandes de commentaires de CoinDesk.

L'étendue de « l'accès autorisé »

Le Centre pour la démocratie et la technologie (CDT) est ONEun des signataires de la lettre ouverte. Stan Adams, conseiller juridique adjoint du CDT et conseiller juridique pour l'Internet ouvert, a décomposé l'affaire en deux arguments lors d'un appel téléphonique avec CoinDesk.

Selon Adams, si une décision générale est prise sur la CFAA, les chercheurs en sécurité seraient probablement découragés de mener des recherches par crainte de violer la partie « dépasse l’accès autorisé » de la loi.

Une interprétation large permettrait aux entreprises de définir ce que signifie « accès autorisé » dans leurs conditions de service, qui peuvent être facilement modifiées et altérées, exposant ainsi les chercheurs en sécurité à un risque accru.

« Des lois vagues comme la CFAA peuvent nuire à la recherche en sécurité », a déclaré Adams. « Le gouvernement américain souhaite que l'accès puisse être limité par des Conditions d’utilisation et autres clauses écrites limitant l'accès, plutôt que par une sorte de barrière technique, comme nous le souhaiterions. »

L'idée est qu'un chercheur, s'il est soumis à une barrière technique telle qu'un mot de passe ou un dispositif de chiffrement, saura qu'il a atteint les limites de son accès autorisé. Énoncer les limites de l'accès autorisé dans des conditions d'utilisation difficiles à trouver et encore plus difficiles à lire laisserait les chercheurs en sécurité dans l'incertitude et aurait un effet dissuasif sur la recherche en général, a-t-il ajouté.

Un effet dissuasif sur les chercheurs en fintech et Crypto ?

L’impact sur la recherche ne s’applique T seulement aux entreprises comme Voatz, même si ONEon aurait du mal à affirmer qu’une entreprise qui s’engage dans le vote numérique ne mérite T un examen approfondi.

L'ensemble du secteur technologique serait impacté. Matt Hill, PDG de Start9 Labs, une start-up open source spécialisée dans la protection de la vie privée, a déclaré que le piratage informatique « white hat » est essentiel à tout type de technologie. Sans lui, de simples bugs logiciels pourraient se transformer en infections systémiques, exploitables par des acteurs malveillants. Le monde des Cryptomonnaie a vu de tels acteurs vider des plateformes d'échange et voler les cryptomonnaies de leurs utilisateurs.

« Une organisation honnête, déterminée à créer des produits sécurisés, encouragera les attaques white hat, peu importe la gravité des résultats, car c'est la seule façon pour son système de devenir sécurisé », a déclaré Hill.

« Une organisation qui tente de vendre un morceau d’argile emballé comme une sécurité, également connu sous le nom de vaporware, ou une arnaque, fera tout ce qu’elle peut pour empêcher les attaques – pour maintenir l’illusion interne et externe aussi longtemps que possible. »

Un refuge pour les chapeaux blancs

Jason Gottlieb, associé chez Morrison Cohen LLP et président du groupe de pratique sur les délits de col blanc et l'application de la réglementation, a déclaré que, selon lui, jusqu'à ce que le Congrès modifie la CFAA pour clarifier ce que signifie « accès non autorisé », la CFAA devrait être interprétée de manière à offrir une zone de sécurité au piratage informatique en chapeau blanc.

Pour être clair, il a déclaré que le piratage devait être véritablement un acte de white hat et que la charge de la preuve devrait incomber à ces derniers, qui doivent démontrer que leurs intentions étaient d'aider plutôt que de nuire.

« Le piratage informatique en chapeau blanc est un élément clé de la mise en œuvre de tout programme de sécurité des données, et ce depuis très longtemps », a déclaré Gottlieb. « Compte tenu de l'importance croissante de la cybersécurité dans les secteurs de la blockchain et des Cryptomonnaie , nous devrions encourager le piratage informatique en chapeau blanc transparent afin d'améliorer tous les systèmes. »

Adams a confirmé qu'une décision générale pourrait encourager les entreprises de technologie financière et les plateformes d'échange de Crypto à sévir contre les hackers white hat, car « ils ont tout intérêt à ne pas être perçus comme défectueux ». Cela dit, il a également reconnu que les entreprises pourraient également souhaiter se protéger, car il s'agit en fin de compte de l'argent public en jeu.

« Quoi qu'il en soit, la sécurité par l'obscurité n'est pas la solution », a déclaré Adams. « La CFAA est un outil assez lourd à manier. »

Mise à jour : (7 octobre 2020, 18 h 32 UTC)Le PDG et cofondateur de Voatz, Nimit Sawhney, a répondu en déclarant : «Nous ne préconisons pas de limiter la liberté de quiconque. Nous disons simplement qu’il est difficile de faire la distinction entre les attaques de bonne et de mauvaise foi au milieu d’une élection en cours.Pour le bien de tous, il est préférable de collaborer avec l'organisation, car les acteurs malveillants se font régulièrement passer pour de bons acteurs. Toute tentative d'intrusion ou de falsification d'un système électoral pendant une élection en direct doit être considérée comme hostile, sauf autorisation préalable spécifique. Les chercheurs peuvent également utiliser nos systèmes de test accessibles au public, qui sont de véritables répliques de systèmes réels en termes de fonctionnalités. [souligné par lui]

Sawhney a également précisé que Voatz avait déposé son mémoire d'amicus curiae parce qu'il avait été « faussement cité dans des documents antérieurs du 8 juillet ». Il a affirmé que Voatz n'avait fait aucun signalement au FBI ni à aucune autre autorité fédérale, et qu'« ONE participant à nos programmes de chasse aux bugs n'avait jamais été signalé ni inclus dans les bulletins de sécurité de nos clients ».

Sawhney a également affirmé que l'étudiant de l'Université du Michigan n'était pas un participant au programme de chasse aux bugs Voatz ; mais que son action était plutôt « une tentative ratée de falsifier un système en direct pendant une élection ».