Loi sur les abus informatiques La loi qui criminalise le piratage informatique au Royaume-Uni
Pirater des ordinateurs est illégal dans le monde entier.
Au Royaume-Uni, la législation clé relative aux infractions informatiques est la Computer Misuse Act de 1990, qui est à la base de la plupart des lois sur les infractions informatiques de nombreux pays du Commonwealth..
Mais il s'agit également d'un projet de loi extrêmement controversé, qui a récemment été mis à jour pour donner à GCHQ, la principale organisation du renseignement du Royaume-Uni, le droit légal de pirater l'ordinateur de son choix. Alors, de quoi s'agit-il et que dit-il?
Les premiers hackers
La loi sur les abus informatiques a été écrite et promulguée pour la première fois en 1990, mais cela ne veut pas dire qu'il n'y avait pas de crime informatique auparavant. Au contraire, il était extrêmement difficile, voire impossible, de poursuivre en justice. Un des premiers crimes informatiques à être poursuivi au Royaume-Uni a été R v Robert Schifreen et Stephen Gold, en 1985.
Schifreen et Gold, utilisant un simple équipement informatique standard, ont réussi à compromettre le système Viewdata, précurseur rudimentaire et centralisé de l’Internet moderne appartenant à Prestel, une filiale de British Telecom. Le hack était relativement simple. Ils ont trouvé un ingénieur de British Telecom et ont surfé sur ses épaules lorsqu'il a saisi ses informations de connexion (nom d'utilisateur '22222222' et mot de passe '1234'). Avec cette information, ils ont fouillé dans Viewdata, parcourant même les messages privés de la famille royale britannique..
British Telecom est rapidement devenu méfiant et a commencé à surveiller les comptes suspects Viewdata.
Il ne fallut pas longtemps avant que leurs soupçons soient confirmés. BT a prévenu la police. Schifreen et Gold ont été arrêtés et inculpés en vertu de la loi sur la falsification et la contrefaçon. Ils ont été condamnés et condamnés à des amendes respectives de 750 et 600 £. Le problème était que la loi sur les faux et la contrefaçon ne s'appliquait pas vraiment aux infractions informatiques, en particulier celles motivées par la curiosité et la recherche, et non par des objectifs financiers..
Schifreen et Gold ont fait appel de leur condamnation et ont remporté.
L'accusation a interjeté appel de leur acquittement devant la Chambre des lords et a été déboutée. Lord David Brennan, l'un des juges de l'appel, a confirmé leur acquittement, ajoutant que si le gouvernement souhaitait poursuivre les criminels de l'informatique, il devrait créer les lois appropriées pour le faire..
Cette nécessité a conduit à la création de la loi sur les abus informatiques.
Loi sur les trois délits informatiques
La loi sur les abus informatiques, introduite en 1990, criminalisait trois comportements particuliers, chacun assorti de peines différentes..
- Accéder à un système informatique sans autorisation.
- Accéder à un système informatique pour commettre ou faciliter de nouvelles infractions.
- Accéder à un système informatique afin de gêner le fonctionnement de tout programme ou de modifier des données qui ne vous appartiennent pas.
De manière cruciale, pour que quelque chose soit une infraction pénale au sens de la loi de 1990 sur l’utilisation abusive de l’informatique, il doit exister une intention. Ce n'est pas un crime, par exemple, que quelqu'un se connecte par inadvertance et par hasard à un serveur ou à un réseau auquel il n'est pas autorisé à accéder..
Mais il est totalement illégal pour une personne d'accéder à un système avec intention, en sachant qu'elle n'a pas la permission d'y accéder..
Avec une compréhension de base de ce qui était nécessaire, principalement en raison de la technologie relativement récente, la législation dans sa forme la plus fondamentale n'incriminait pas d'autres actes indésirables que l'on pouvait faire avec un ordinateur. Par conséquent, il a été révisé à plusieurs reprises depuis lors, où il a été affiné et étendu.
Qu'en est-il des attaques DDoS??
Les lecteurs perspicaces auront remarqué qu'en vertu de la loi décrite ci-dessus, les attaques DDoS Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle à chaque fois que le cyber-activisme surgit en masse. Ce type d'attaques fait les gros titres de la presse internationale pour plusieurs raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement… En savoir plus ne sont pas illégaux, malgré le nombre considérable de dommages et de perturbations qu’ils peuvent causer. En effet, les attaques DDoS ne permettent pas d'accéder à un système. Au contraire, ils le submergent en dirigeant d’énormes volumes de trafic sur un système donné, jusqu’à ce qu’il ne puisse plus y faire face..
Les attaques DDoS ont été criminalisées en 2006, un an après l'acquittement par un tribunal d'un adolescent qui avait inondé son employeur de plus de 5 millions de courriels. La nouvelle législation a été introduite dans la loi sur la police et la justice de 2006, qui a ajouté un nouvel amendement à la loi sur l'utilisation abusive d'informatique qui criminalise tout ce qui pourrait entraver le fonctionnement ou l'accès de tout ordinateur ou programme..
Comme la loi de 1990, ce n’était un crime que si les conditions requises étaient remplies. intention et connaissance. Lancer intentionnellement un programme DDoS est illégal, mais être infecté par un virus qui lance une attaque DDoS n'est pas.
De manière cruciale, à ce stade, la loi sur l’utilisation abusive des ordinateurs n’était pas discriminatoire. Il était tout aussi illégal pour un policier ou un espion de pirater un ordinateur que pour un adolescent dans sa chambre. Cela a été changé dans un amendement de 2015.
Vous ne pouvez pas créer un virus, que ce soit.
Un autre article (article 37), ajouté plus tard dans la vie de la loi sur l’utilisation abusive d’informatique, criminalise la production, l’obtention et la fourniture d’articles susceptibles de faciliter la criminalité informatique..
Par exemple, il est illégal de créer un logiciel permettant de lancer une attaque DDoS ou de créer un virus ou un cheval de Troie..
Mais cela introduit un certain nombre de problèmes potentiels. Premièrement, qu'est-ce que cela signifie pour le secteur légitime de la recherche en matière de sécurité? Pouvez-vous vivre du piratage éthique? Pouvez-vous gagner votre vie avec le piratage éthique? Être étiqueté a “pirate” vient généralement avec beaucoup de connotations négatives. Si vous vous appelez un pirate informatique, les gens vous percevront souvent comme une personne qui cause des méfaits juste pour rire. Mais il y a une différence… Lire la suite, qui a produit des outils de piratage et exploite dans le but d'accroître la sécurité informatique Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuits Comment tester votre sécurité du réseau domestique avec des outils de piratage gratuits Aucun système ne peut être entièrement "preuve de piratage", mais les tests de sécurité du navigateur et les protections réseau peuvent rendre votre configuration plus robuste. Utilisez ces outils gratuits pour identifier les "points faibles" de votre réseau domestique. Lire la suite ?
Deuxièmement, qu'est-ce que cela signifie pour les technologies à «double usage», qui peuvent être utilisées à la fois pour des tâches légitimes et illégitimes. Google Chrome est un bon exemple de ce guide. Guide facile de Google Chrome Ce guide de l'utilisateur de Chrome contient tout ce que vous devez savoir sur le navigateur Google Chrome. Il aborde les bases de l'utilisation de Google Chrome, qui sont importantes pour tout débutant. En savoir plus, qui peut être utilisé pour naviguer sur Internet, mais aussi pour lancer des attaques par injection SQL Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Le monde de la sécurité Internet est en proie à des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une multitude d'autres problèmes qui nous tiennent tous sur le qui-vive tous les jours. Pour les utilisateurs privés,… Lire la suite .
La réponse est, encore une fois, l'intention. Au Royaume-Uni, les poursuites sont engagées par le Crown Prosecution Service (CPS), qui détermine si une personne doit être poursuivie ou non. La décision de poursuivre quelqu'un en justice repose sur un certain nombre de directives écrites, auxquelles la SCP doit se conformer..
Dans ce cas, les directives stipulent que la décision de poursuivre quelqu'un en vertu de l'article 37 ne devrait être prise que s'il y a une intention criminelle. Il ajoute que, pour déterminer si un produit a été conçu pour faciliter un délit informatique, le procureur doit tenir compte de son utilisation légitime et des motivations qui ont présidé à sa construction..
Cela pénalise effectivement la production de logiciels malveillants, tout en permettant au Royaume-Uni de disposer d'un secteur florissant de la sécurité de l'information.
“007 - Licence de piratage”
La loi sur les abus informatiques a de nouveau été mise à jour au début de 2015, quoique discrètement et sans fanfare. Deux changements importants ont été apportés.
La première était que certains crimes informatiques au Royaume-Uni sont maintenant punissables d'une peine à perpétuité. Celles-ci seraient distribuées si le pirate informatique avait eu l’intention et la connaissance que son action était non autorisée et pouvait potentiellement causer “dégâts sérieux” à “bien-être humain et sécurité nationale” ou étaient “imprudent quant à savoir si un tel préjudice a été causé”.
Ces phrases ne semblent pas s’appliquer à votre variété jardinière adolescente mécontente. Elles sont plutôt réservées à ceux qui lancent des attaques susceptibles de causer de graves dommages à la vie humaine ou visant des infrastructures nationales essentielles..
La deuxième modification apportée donnait l'immunité à la police et aux services de renseignement vis-à-vis de la législation existante relative à la criminalité informatique. Certains se sont félicités du fait que cela pourrait simplifier les enquêtes sur les types de criminels susceptibles de dissimuler leurs activités par des moyens technologiques. Bien que d'autres, notamment Privacy International, craignent qu'il ne soit trop tard pour en abuser et que les mécanismes de contrôle suffisants ne sont pas en place pour que ce type de législation existe.
Des modifications à la loi sur l'utilisation abusive des ordinateurs ont été adoptées le 3 mars 2015 et sont entrées en vigueur le 3 mai 2015..
Loi sur l'avenir de l'abus informatique
La loi sur l’utilisation abusive d’informatique est un texte de loi vivant. C’est celui qui a changé tout au long de sa vie et continuera probablement à le faire.
Le prochain changement probable devrait découler du scandale du piratage téléphonique de News of The World, et définira probablement les smartphones comme des ordinateurs (ce qu'ils sont), et introduira le crime de divulgation d'informations. avec intention.
Jusque-là, je veux entendre vos pensées. Pensez-vous que la loi va trop loin? Pas assez loin? Dis-moi, et nous allons discuter ci-dessous.
Crédits photos: pirate informatique et ordinateur portable via Shutterstock, Brendan Howard / Shutterstock.com, anonyme DDC_1233 / Thierry Ehrmann, bâtiment GCHQ / MOD
Explorer plus sur: Law, Online Privacy, Online Security.