La loi sur l'utilisation abusive des ordinateurs: la loi qui criminalise le piratage au Royaume-Uni

Au Royaume-Uni, la Computer Misuse Act de 1990 traite des crimes de piratage. Cette législation controversée a été récemment mise à jour pour donner à l'organisation du renseignement britannique GCHQ le droit légal de pirater n'importe quel ordinateur. Même le vôtre.

Au Royaume-Uni, la Computer Misuse Act de 1990 traite des crimes de piratage.  Cette législation controversée a été récemment mise à jour pour donner à l'organisation du renseignement britannique GCHQ le droit légal de pirater n'importe quel ordinateur.  Même le vôtre.
Publicité

Le piratage informatique est illégal dans le monde entier.

Au Royaume-Uni, la loi clé sur les crimes informatiques est la Computer Misuse Act de 1990, qui constitue la base de la plupart des lois sur les délits informatiques dans de nombreux pays du Commonwealth.

Mais c'est aussi un texte législatif très controversé, et récemment mis à jour pour donner au GCHQ, l'organisation de renseignement primaire du Royaume-Uni, le droit légal de pirater n'importe quel ordinateur de leur choix. Alors, qu'est-ce que c'est et que dit-il?

Les premiers pirates

La loi sur l'utilisation abusive des ordinateurs a été rédigée pour la première fois en 1990, mais cela ne veut pas dire qu'il n'y avait pas de crime informatique avant cette date. Au contraire, il était tout simplement incroyablement difficile, voire impossible, de poursuivre. L'un des premiers crimes informatiques à être poursuivis au Royaume-Uni était R. v. Robert Schifreen et Stephen Gold, en 1985.

Schifreen et Gold, utilisant des équipements informatiques simples et prêts à l'emploi, ont réussi à compromettre le système Viewdata, précurseur centralisé et rudimentaire de l'Internet moderne de Prestel, filiale de British Telecom. Le hack était relativement simple. Ils ont trouvé un ingénieur de British Telecom, et ont surfé sur l'épaule en saisissant ses identifiants de connexion (nom d'utilisateur '22222222' et mot de passe '1234'). Avec cette information, ils se sont déchaînés à travers Viewdata, allant même jusqu'à consulter les messages privés de la famille royale britannique.

cma-prestel

British Telecom est rapidement devenue suspecte et a commencé à surveiller les comptes suspects de Viewdata.

Il ne fallut pas longtemps avant que leurs soupçons ne soient confirmés. BT a informé la police. Schifreen et Gold ont été arrêtés et inculpés en vertu de la Loi sur la contrefaçon et la contrefaçon. Ils ont été condamnés et condamnés à une amende de 750 et 600 livres respectivement. Le problème était que la Loi sur la contrefaçon et la contrefaçon ne s'appliquait pas vraiment aux crimes informatiques, en particulier ceux qui étaient motivés par la curiosité et l'enquête, et non par des objectifs financiers.

Schifreen et Gold ont fait appel de leur condamnation et ont gagné.

L'accusation a fait appel de leur acquittement à la Chambre des lords et a perdu. L'un des juges de cet appel, Lord David Brennan, a confirmé leur acquittement, ajoutant que si le gouvernement voulait poursuivre les criminels informatiques, il devrait créer les lois appropriées pour le faire.

Cette nécessité a conduit à la création de la loi sur l'utilisation abusive des ordinateurs.

La Loi sur les trois crimes de la mauvaise utilisation des ordinateurs

La loi sur l'utilisation abusive des ordinateurs, adoptée en 1990, a criminalisé trois comportements particuliers, assortis chacun de sanctions différentes.

  • Accéder à un système informatique sans autorisation.
  • Accéder à un système informatique pour commettre ou faciliter d'autres infractions.
  • Accéder à un système informatique pour perturber le fonctionnement d'un programme ou pour modifier des données qui ne vous appartiennent pas.

Fondamentalement, pour que quelque chose soit une infraction criminelle en vertu de la loi sur l'utilisation abusive des ordinateurs de 1990, il doit y avoir intention . Ce n'est pas un crime, par exemple, que quelqu'un se connecte par mégarde et par inadvertance à un serveur ou à un réseau dont il n'a pas l'autorisation d'accéder.

Mais il est tout à fait illégal pour quelqu'un d'accéder à un système avec l'intention, sachant qu'il n'a pas l'autorisation d'y accéder.

Avec une compréhension de base de ce qui était nécessaire, principalement parce que la technologie était relativement nouvelle, la législation dans sa forme la plus fondamentale n'a pas criminalisé d'autres choses indésirables que l'on peut faire avec un ordinateur. Par conséquent, il a été révisé plusieurs fois depuis lors, où il a été affiné et étendu.

Qu'en est-il des attaques DDoS?

Les lecteurs perspicaces auront remarqué qu'en vertu de la loi décrite ci-dessus, les attaques DDoS sont une attaque DDoS. [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle quand le cyber-activisme se dresse en masse. Ces types d'attaques font les manchettes internationales pour de multiples raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement ... Lire la suite ne sont pas illégaux, en dépit de la grande quantité de dommages et de perturbation qu'ils peuvent causer. C'est parce que les attaques DDoS n'accèdent pas à un système. Au contraire, ils l'accablent en dirigeant des volumes massifs de trafic sur un système donné, jusqu'à ce qu'il ne puisse plus faire face.

cma-ddos

Les attaques DDoS ont été criminalisées en 2006, un an après qu'un tribunal ait acquitté un adolescent qui avait inondé son employeur avec plus de 5 millions de courriels. La nouvelle législation a été introduite dans la loi de 2006 sur la police et la justice, qui a ajouté une nouvelle modification à la loi sur l'utilisation abusive des ordinateurs qui criminalisait tout ce qui pouvait nuire au fonctionnement ou à l'accès de tout ordinateur ou programme.

Comme la loi de 1990, ce n'était qu'un crime s'il y avait l' intention et les connaissances requises. Lancer intentionnellement un programme DDoS est illégal, mais devenir infecté par un virus qui lance une attaque DDoS ne l'est pas.

Fondamentalement, à ce stade, la Computer Misuse Act n'était pas discriminatoire. Il était tout aussi illégal pour un policier ou un espion de pirater un ordinateur, que pour un adolescent de sa chambre. Cela a été modifié dans un amendement de 2015.

Vous ne pouvez pas faire de virus, que ce soit.

Une autre section (article 37), ajoutée plus tard dans la Loi sur l'utilisation abusive de l'ordinateur, criminalise la production, l'obtention et la fourniture d'articles susceptibles de faciliter un crime informatique.

Cela rend illégal, par exemple, la construction d'un système logiciel capable de lancer une attaque DDoS ou de créer un virus ou un cheval de Troie.

Mais cela introduit un certain nombre de problèmes potentiels. Premièrement, qu'est-ce que cela signifie pour l'industrie légitime de la recherche sur la sécurité Pouvez-vous faire un hacking éthique? Pouvez-vous faire une vie de piratage éthique? Être étiqueté «hacker» vient généralement avec beaucoup de connotations négatives. Si vous vous appelez un hacker, les gens vous percevront souvent comme quelqu'un qui cause des méfaits juste pour rire. Mais il y a une différence ... Lire la suite, qui a produit des outils de piratage et exploits dans le but d'accroître la sécurité informatique Comment tester votre sécurité réseau domestique avec des outils de piratage gratuit Comment tester votre sécurité réseau domestique avec des outils de piratage gratuit Aucun système peut soyez entièrement «à l'épreuve du piratage», mais les tests de sécurité du navigateur et les sauvegardes du réseau peuvent rendre votre installation plus robuste. Utilisez ces outils gratuits pour identifier les «points faibles» de votre réseau domestique. Lire la suite ?

Deuxièmement, qu'est-ce que cela signifie pour les technologies «à double usage», qui peuvent être utilisées à la fois pour des tâches légitimes et illégitimes. Un bon exemple de ceci serait Google Chrome Le Guide Facile de Google Chrome Le Guide Facile de Google Chrome Ce guide de l'utilisateur de Chrome montre tout ce que vous devez savoir sur le navigateur Google Chrome. Il couvre les bases de l'utilisation de Google Chrome qui est important pour tout débutant. Lire la suite, qui peut être utilisé pour naviguer sur Internet, mais aussi lancer des attaques SQL Injection Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Le monde de la sécurité Internet est marqué par des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une foule d'autres problèmes. Pour les utilisateurs privés, ... Lire la suite.

cma-hacker

La réponse est, encore une fois, l'intention. Au Royaume-Uni, les poursuites sont intentées par le Crown Prosecution Service (CPS), qui détermine si quelqu'un doit être poursuivi. La décision d'amener quelqu'un en justice est basée sur un certain nombre de directives écrites, auxquelles la CPS doit obéir.

Dans ce cas, les lignes directrices stipulent que la décision de poursuivre quelqu'un en vertu de l'article 37 ne devrait être prise que s'il y a intention criminelle. Il ajoute également que, pour déterminer si un produit a été fabriqué afin de faciliter un crime informatique, le procureur devrait tenir compte de l'usage légitime et des motivations à l'origine de sa construction.

Ceci, en effet, criminalise la production de logiciels malveillants, tout en permettant au Royaume-Uni d'avoir une industrie florissante de la sécurité de l'information.

"007 - Licence de piratage"

La Loi sur l'utilisation abusive des ordinateurs a été mise à jour au début de 2015, quoique discrètement, et sans grande fanfare. Deux changements importants ont été faits.

La première était que certains crimes informatiques au Royaume-Uni sont maintenant passibles d'une peine d'emprisonnement à perpétuité. Ceux-ci seraient donnés si le hacker avait l'intention et la connaissance que leur action était non autorisée, et pourrait causer de "sérieux dommages" au "bien-être humain et à la sécurité nationale" ou "imprudents quant à savoir si un tel dommage était causé".

Ces phrases ne semblent pas s'appliquer à votre adolescent de jardin variété désaffectée. Au contraire, ils sont sauvés pour ceux qui lancent des attaques susceptibles de causer de graves dommages à la vie humaine ou qui visent des infrastructures nationales essentielles.

cma-gchq

Le deuxième changement qui a été fait a donné aux agents de police et de renseignement l'immunité contre la législation existante sur la criminalité informatique. Certains ont applaudi le fait que cela pourrait simplifier les enquêtes sur les types de criminels qui pourraient obscurcir leurs activités par des moyens technologiques. Bien que d'autres, à savoir Privacy International, craignaient qu'il soit prêt à faire l'objet d'abus, et qu'il n'existe pas suffisamment de freins et de contrepoids pour que ce type de législation existe.

Des modifications à la Loi sur l'utilisation abusive des ordinateurs ont été adoptées le 3 mars 2015 et ont été adoptées le 3 mai 2015.

L'avenir de la loi sur l'utilisation abusive des ordinateurs

La Computer Misuse Act est une loi très vivante. C'est celui qui a changé tout au long de sa vie, et continuera probablement à le faire.

Le prochain changement probable devrait venir à la suite du scandale de piratage téléphonique News of the World, et va probablement définir les smartphones comme des ordinateurs (qu'ils sont), et introduire le crime de divulguer des informations avec intention .

Jusque-là, je veux entendre vos pensées. Pensez-vous que la loi va trop loin? Pas assez loin? Dites-moi, et nous allons discuter ci-dessous.

Crédits photo: hacker et ordinateur portable Via Shutterstock, Brendan Howard / Shutterstock.com, Anonyme DDC_1233 / Thierry Ehrmann, Bâtiment GCHQ / MOD

In this article