Dire la vérité sur les défauts de la technologie ne devrait jamais, jamais, être illégal

Le Congrès n’a jamais promulgué de loi disant: «Les entreprises devraient pouvoir décider qui publiera des informations véridiques sur les défauts de leurs produits» – et le premier amendement ne permettrait pas une telle loi – mais cela n’a pas empêché les entreprises

Un peu d'histoire: en 1986, Ronald Reagan, effrayé par le film de Matthew Broderick Wargames (histoire vraie!) A travaillé avec le Congrès pour passer un projet de loi sur la cybercriminalité appelé Loi sur la fraude et les abus informatiques . La CFAA rend souvent illégal l’accès autorisé de [] sur l’ordinateur de l’autre dans de nombreux cas.

En 1998, Bill Clinton et son Congrès ont adopté le Digital Millennium Copyright Act (DMCA), un géant hairball de la loi numérique sur les droits d'auteur qui inclut section 1201 qui interdit de contourner toute "mesure technologique" qui "contrôle effectivement l'accès" aux œuvres protégées ou au "trafic [ing]" serrures numériques

Notez qu'aucune de ces lois n'interdit la divulgation de défauts, y compris les divulgations de sécurité! Mais des décennies plus tard, des avocats et des procureurs fédéraux ont créé un ensemble de précédents juridiques qui transforment ces lois exorbitantes en une règle qui donne aux entreprises le pouvoir de décider qui peut dire la vérité sur les défauts et les bugs de leurs produits.

et les procureurs ont intenté des actions civiles et pénales contre des chercheurs et des lanceurs d'alerte qui ont violé les conditions de service d'une entreprise en découvrant un défaut. L'argument se présente comme suit: «Nos conditions de service interdisent de sonder notre système à la recherche de défauts de sécurité. Lorsque vous vous connectez à notre serveur à cette fin, vous «excédez votre autorisation» et cela viole la loi sur la fraude et les abus informatiques. »

De même, les entreprises et les procureurs ont utilisé l'article 1201 du DMCA pour attaquer les chercheurs logiciel et matériel. Voici comment se déroule cet argument: "Nous avons conçu nos produits avec un verrou que vous devez contourner pour découvrir les défauts de notre logiciel.

Notre logiciel étant protégé par des droits d’auteurs, ce verrou est un contrôle cela signifie que vos recherches sont interdites et que toute publication expliquant comment reproduire vos découvertes est un discours illégal, car «trafiquer» aide les autres à contourner nos serrures. »

Le premier amendement ne permettrait certainement pas au Congrès de promulguer une loi qui interdisait de faire de vraies divulgations techniques. Même (surtout!) Si ces divulgations révélaient des défauts de sécurité dont le public devait être conscient avant de décider de faire confiance à un produit ou à un service.

Mais la présence de ces lois a convaincu l'industrie technologique et les sociétés qui ont ajouté smart tech à leurs produits autrement «stupides» – qu'il est naturel qu'ils soient les seuls dépositaires de l'autorité pour les embarrasser ou les déranger. Les pires de ces acteurs utilisent des menaces d’invoquer CFAA et DMCA 1201 pour faire taire les chercheurs, alors la première fois que vous découvrez que vous faites confiance à un produit défectueux, c’est qu’il est impossible de le conserver. problème de devenir largement connu.

Même les meilleurs et les plus responsables des acteurs corporatifs se trompent. Des sociétés technologiques comme Mozilla Dropbox et, plus récemment, Tesla ont élaboré des politiques de "divulgation coordonnée" dans lesquels ils promettent sincèrement et légalement de prendre au sérieux les divulgations relatives à la sécurité et d'y donner suite dans un délai déterminé, et ils promettent même de ne pas utiliser de lois comme le DMCA 1201 pour se venger des chercheurs en sécurité qui suivent leurs directives.

bon début, mais c'est une solution tardive et limitée à un problème beaucoup plus important.

Le fait est que presque chaque entreprise est une "entreprise technologique" – de vendeurs d'implants médicaux à compagnies de machines à voter – et elles ne sont pas toutes aussi ouvertes et publiques que Mozilla .

Beaucoup de ces sociétés ont des politiques de "divulgation coordonnée" ils espèrent tenter la sécurité res les chercheurs s’imposent d’abord quand ils découvrent des problèmes avec leurs produits et services.

Mais ces entreprises ne font pas ces politiques par bonté de cœur: ces politiques existent parce qu’elles sont les le meilleur espoir des entreprises de garder les chercheurs en sécurité de les embarrasser et de les brouiller en publiant simplement le bogue sans avertissement .

Si les entreprises peuvent simplement faire taire les chercheurs qui ne jouent pas Il n'y a pas de pénurie de PDG qui se couchent ce soir avec des fantasmes de fermeture de leurs critiques.

EFF poursuit le gouvernement américain pour invalider DMCA 1201 et l'ACLU est en train d'essayer de supprimer CFAA et il y aura un jour où nous réussirons, parce que l'idée de supprimer les rapports de bogues (même irrespectueux ou impolis) est totalement incompatible avec le premier amendement.

Plutôt que d'élaborer une politique de divulgation qui dit "nous resterons à l'écart de ces interprétations injustes et absurdes de ces lois mal écrites, à condition que vous ne disiez que la vérité de la manière dont nous approuvons" Prenons l'exemple pourrait le faire en mettant quelque chose comme ceci dans leurs politiques de divulgation:

• Nous pensons que transmettre des avertissements véridiques sur les défauts des systèmes est toujours légal. Bien entendu, nous préférons que vous utilisiez notre système de divulgation lorsque nous nous engageons à enquêter sur vos bogues et à les résoudre rapidement. Mais nous ne croyons pas avoir le droit de vous forcer à utiliser notre système.
• En conséquence, nous promettons de ne JAMAIS invoquer de droit légal – par exemple, les droits qui nous sont accordés en vertu de la loi sur le secret commercial, loi anti-contournement – contre quiconque fait une divulgation véridique d'un défaut dans l'un de nos produits ou services, quelle que soit la manière dont cette divulgation est faite.
• Nous pensons vraiment que le meilleur moyen de garantir la sécurité de nos clients et nos produits sans bug est d'entrer dans une relation de coopération avec les chercheurs en sécurité et c'est pourquoi notre système de divulgation existe et nous espérons vraiment que vous allez l'utiliser, mais nous ne pense que nous devrions ont le droit de vous forcer à l'utiliser.

Les entreprises ne doivent pas se fier à ces lois pour faire taire les chercheurs en sécurité qui leur déplaisent le temps et les modalités de leurs révélations véridiques. raisonnable il se peut qu'ils se retrouvent confrontés à des plaideurs publics (ahem) qui utiliseront ces poursuites comme une voie rapide pour renverser ces lois devant les tribunaux.

En attendant que les lenteurs de la justice tournent, le spectre des représailles juridiques hante les meilleurs chercheurs en sécurité publique (les chercheurs qui travaillent pour les cybercriminels et les entreprises de surveillance de l'État ne doivent pas se préoccuper de ces lois, car elles ne rendent jamais leurs conclusions publiques).

C'est mauvais pour nous tous, car pour chaque Tesla Dropbox et Mozilla, il y a un millier de tyrans chétifs qui utilisent l'insistance rétrograde de ces sociétés citoyennes pour que leur divulgation soit soumise à l'approbation de intimider leurs propres critiques dans le silence.

Ces chercheurs intimidés? Ils ont découvert des faits réels sur la raison pour laquelle nous ne devrions pas faire confiance aux systèmes avec nos données, nos finances, nos communications personnelles, la sécurité de nos foyers et de nos entreprises et même nos vies.

EFF a le gouvernement américain pour renverser DMCA 1201 et vient de demander au US Copyright Office de rassurer les chercheurs en sécurité que le DMCA 1201 ne les empêche pas de dire la vérité.

EFF discutera de tout ceci dans un Reddit AMA mardi prochain, le 21 août, de 12h à 15h du Pacifique (15h à 18h heure de l'Est). EFF espère que vous viendrez les rejoindre.

Cet article a été publié par Electronic Frontier Foundation par Cory Doctorow . Suivez EFF sur Twitter .