Rejoignez-Nous sur

L'application de vote Blockchain Voatz veut en dehors de Security Research Limited

infosec limits gID 1

News

L'application de vote Blockchain Voatz veut en dehors de Security Research Limited

infosec limits gID 1

En bref

  • Voatz a déposé un mémoire d'amicus auprès de la Cour suprême des États-Unis.
  • Il a fait valoir que la loi sur la fraude et les abus informatiques devrait s'appliquer aux recherches non autorisées sur la sécurité.
  • L'Electronic Frontier Foundation, en revanche, a fait valoir qu'une interprétation large de la loi pourrait mettre un frein à de précieuses recherches sur la sécurité.

Plus tôt cette année, après que des chercheurs du MIT aient pris en charge l'application de vote basée sur la blockchain Voatz vulnérabilités de sécurité, Voatz a critiqué les universitaires pour se fonder sur des hypothèses au lieu de lui demander l'accès au serveur.

Maintenant, Voatz a déclaré à la Cour suprême des États-Unis que les chercheurs tiers ne devraient légalement pas être en mesure de fouiller sur les systèmes des autres sans l'autorisation de l'entreprise faisant l'objet de la recherche – et sous sa supervision.

L'enjeu de l'affaire à l'étude est la capacité des chercheurs indépendants en sécurité à faire leur travail et à alerter le public sur des vulnérabilités qui pourraient autrement être balayées sous le tapis.

Quand une brèche informatique est-elle un crime?

Hier, Voatz a soumis un mémoire d'amicus à la Haute Cour des États-Unis dans l'affaire Van Buren c. États-Unis. (Les mémoires Amicus sont des arguments juridiques déposés par des parties qui ne sont pas impliquées dans le procès mais qui ont un intérêt dans le résultat.)

L'affaire concerne un ancien sergent de police géorgien nommé Nathan Van Buren, qui aurait demandé à une personne anonyme de lui donner de l'argent pour accéder à une base de données des forces de l'ordre. Van Buren a été arrêté par le FBI lors d'une opération de piqûre et reconnu coupable d'avoir enfreint la loi sur la fraude et les abus informatiques (CFAA), une loi fédérale qui empêche largement les gens de pirater des ordinateurs.

Van Buren a fait valoir, cependant, que la CFAA ne s’applique pas parce qu’il avait accès à la base de données; même s'il n'était pas censé l'utiliser de cette manière, il n'était pas juste un pirate informatique. Cette affaire a maintenant fait son chemin devant la Cour suprême, qui se prononcera sur «si une personne autorisée à accéder à des informations sur un ordinateur à certaines fins enfreint … la (CFAA) si elle accède aux mêmes informations à des fins inappropriées . »

Cependant, un grand nombre de groupes de défense des libertés civiles et d'organisations de justice pénale sont intervenus, considérant que l'affaire pourrait créer un précédent plus vaste. C'est-à-dire: les chercheurs indépendants en sécurité ne sont-ils vraiment que des pirates informatiques intrusifs qui devraient être poursuivis, ou fournissent-ils un service public précieux et sortent donc du champ d'application de la loi?

Cela a incité Voatz à déposer sa propre opinion auprès du tribunal.

Voatz contre EFF

La fondation pro-vie privée Electronic Frontier, qui a déposé un mémoire d'amicus, argumenté la CFAA telle qu'elle est actuellement interprétée pourrait être utilisée pour condamner toute personne qui «enfreint les conditions d'utilisation d'un site Web».

Selon l'EFF, cela exposerait «les chercheurs indépendants en sécurité informatique à un risque juridique pour s'engager dans des tests de sécurité socialement bénéfiques par le biais de pratiques de recherche de sécurité standard, telles que l'accès aux données accessibles au public d'une manière bénéfique pour le public mais interdite par le propriétaire des données. "

S'opposant à l'EFF, Voatz a fait valoir que le champ d'application de la CFAA ne devrait pas être réduit – cela fonctionne très bien. Il n'y a pas besoin de recherche indépendante. Au lieu de cela, il a dit:

«Les recherches et tests nécessaires peuvent être effectués par autorisé des soirées. Il s’agit notamment de sociétés de conseil privées et de participants à des programmes organisés de «prime aux bogues».

Selon Voatz, «la recherche non autorisée et la diffusion publique de vulnérabilités de sécurité non validées ou théoriques peuvent en fait avoir des effets néfastes.»

Il fait référence à une recherche publiée cette année par des chercheurs du MIT qui, affirme-t-il, «(analysé) une version de l'application de vote Voatz qui était plusieurs versions obsolètes à l'époque, et qui n'a jamais été autorisée à être utilisée dans aucune élection.»

Étant donné que les chercheurs n'ont pas pu accéder aux serveurs Voatz, la société de vote blockchain affirme avoir «fabriqué une version imaginée des serveurs Voatz, émis des hypothèses sur leur fonctionnement probable, puis fait des hypothèses sur les interactions entre les composants du système qui se sont révélées fausses. . »

S'ils avaient travaillé avec Voatz, indique le mémoire, les chercheurs auraient pu produire des résultats pertinents.

De plus, même en cas d’échec, ce type de recherche peut encore coûter du temps et de l’argent à l’organisation à l’autre bout, ainsi qu’aux forces de l’ordre, car il est difficile de distinguer une attaque réelle d’une recherche inoffensive.

Ce fut le cas lorsqu'un groupe a tenté en vain de violer le système électoral de Virginie-Occidentale, qui a utilisé l'application Voatz pour plusieurs pilotes. Le FBI s'est impliqué, seulement pour découvrir qu'il s'agissait probablement du travail d'étudiants universitaires du Michigan dans le cadre d'un exercice en classe.

La Cour suprême pourrait rendre un avis dès le 13 octobre.



Traduction de l’article de Jeff Benson : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top