La loi computer misuse: la loi qui criminalise hacking dans le royaume-uni

Piratage informatique est illégal à peu près dans le monde entier.

Au Royaume-Uni, la principale loi qui traite des crimes informatiques est le Computer Misuse Act 1990, qui a formé la base d`une grande partie de la législation sur les crimes informatiques dans la plupart des nations du Commonwealth.

Mais il est aussi un morceau très controversée de la législation, et qui a récemment été mis à jour pour donner GCHQ, l`organisation du renseignement primaire du Royaume-Uni, le droit légal de pirater un ordinateur qu`ils le désirent. Alors, quel est-il, et que dit-elle?

Les premiers pirates

La loi Computer Misuse a été écrit et mis en droit en 1990, mais cela ne veut pas dire qu`il n`y avait pas de crime informatique avant d`alors. Au contraire, il était extrêmement difficile, voire impossible, de poursuivre. L`un des premiers crimes informatiques pour être poursuivis au Royaume-Uni était R v Robert Schifreen et Stephen Gold, en 1985.

Schifreen et Or, à l`aide simple, off-the-shelf de matériel informatique, a réussi à compromettre le système Viewdata, qui était, un précurseur centralisé rudimentaire à l`Internet moderne appartenant à Prestel, une filiale de British Telecom. Le hack était relativement simple. Ils ont trouvé un ingénieur British Telecom, et l`épaule-surfé comme il calé dans ses identifiants de connexion (nom d`utilisateur de `22222222` et mot de passe `1234`). Avec cette information, ils se sont déchaînés à travers Viewdata, même en parcourant les messages privés de la famille royale britannique.

cma-Prestel

British Telecom est rapidement devenu suspect et a commencé à surveiller les comptes Viewdata suspects.

Il ne fallut pas longtemps jusqu`à ce que leurs soupçons ont été confirmés. BT a notifié à la police. Schifreen et or ont été arrêtés et inculpés en vertu de la Loi Contrefaçon et la contrefaçon. Ils ont été reconnus coupables et condamnés à une amende de £ 750 et £ 600 respectivement. Le problème était la Contrefaçon et la Loi sur la contrefaçon ne s`appliquait vraiment aux crimes informatiques, en particulier ceux qui ont été motivés par la curiosité et la recherche, pas d`objectifs financiers.

Schifreen et Or ont interjeté appel de leur condamnation, et a gagné.

Le parquet a fait appel contre leur acquittement devant la Chambre des Lords, et a perdu. L`un des juges dans cet appel, Lord David Brennan, a confirmé leur acquittement, ajoutant que si le gouvernement voulait poursuivre les criminels informatiques, ils devraient créer les lois appropriées pour le faire.

Cette nécessité conduit à la création de la Computer Misuse Act.

Les trois crimes de la Computer Misuse Act

La loi Computer Misuse lorsqu`il est introduit en 1990 criminalisé trois comportements particuliers, chacun avec différentes sanctions.

  • Accès à un système informatique sans autorisation.
  • Accès à un système informatique en vue de commettre ou de faciliter la poursuite des infractions.
  • Accès à un système informatique afin d`altérer le fonctionnement d`un programme, ou de modifier des données qui ne vous appartiennent pas.

Fondamentalement, quelque chose comme une infraction pénale en vertu du Computer Misuse Act 1990, il doit y avoir intention. Il est pas un crime, par exemple, pour quelqu`un de se connecter par inadvertance et serendipitously à un serveur ou d`un réseau, ils ne sont pas autorisés à accéder.

Mais il est tout à fait illégal pour quelqu`un d`accéder à un système avec l`intention, avec la connaissance qu`ils ne sont pas autorisés à y accéder.

Avec une compréhension de base de ce qui était nécessaire, principalement en raison de la technologie étant relativement nouvelle, la loi dans sa forme la plus fondamentale ne criminalise d`autres choses indésirables, on peut faire avec un ordinateur. Par conséquent, il a été révisé à plusieurs reprises depuis lors, où il a été affiné et étendu.

Qu`en est-attaques DDoS?

lecteurs perspicaces auront remarqué que, dans la loi comme décrit ci-dessus, Les attaques DDoS ne sont pas illégaux, en dépit de la grande quantité de dégâts et les perturbations qu`ils peuvent causer. En effet, les attaques DDoS ne gagnent pas accès à un système. Au contraire, ils submergent par la direction d`énormes volumes de trafic à un système donné, jusqu`à ce qu`il ne peut plus faire face.

cma-ddos

Les attaques DDoS ont été criminalisés en 2006, un an après qu`un tribunal a acquitté un adolescent qui avait inondé son employeur avec plus de 5 millions d`emails. La nouvelle législation a été introduite dans la Loi sur la police et la justice de 2006, qui a ajouté une nouvelle modification de la loi Computer Misuse qui criminalisait tout ce qui pourrait nuire au fonctionnement ou à l`accès d`un ordinateur ou d`un programme.

Comme la loi de 1990, ce fut un crime que s`il y avait le nécessaire intention et connaissance. Intentionnellement lance un programme DDoS est illégal, mais devenir infecté par un virus qui lance une attaque DDoS est pas.

Surtout, à ce stade, la Loi sur Computer Misuse était pas discriminatoire. Il était tout aussi illégal pour un agent de police ou espion pour pirater un ordinateur, comme pour un adolescent dans sa chambre pour le faire. Cela a été modifié dans un amendement à 2015.

Vous pouvez pas faire un virus, ou l`autre.

Une autre section (article 37), a ajouté plus tard dans la vie de la Loi Computer Misuse, criminalise la production, l`obtention et la fourniture d`articles qui pourraient faciliter un crime informatique.

Cela rend illégal, par exemple, de construire un système de logiciel qui pourrait lancer une attaque DDoS, ou pour créer un virus ou cheval de Troie.

Mais cela introduit un certain nombre de problèmes potentiels. Tout d`abord, qu`est-ce que cela signifie pour le industrie de la recherche légitime de sécurité, qui a produit des outils et des exploits de piratage dans le but d`accroître la sécurité informatique?

Deuxièmement, qu`est-ce que cela signifie pour les technologies «à double usage», qui peuvent être utilisés pour les deux tâches légitimes et illégitimes. Un bon exemple de ceci serait Google Chrome, qui peut être utilisé pour naviguer sur Internet, mais aussi le lancement attaques par injection SQL.

cma-pirate

La réponse est, encore une fois, l`intention. Au Royaume-Uni, les poursuites sont intentées par le Crown Prosecution Service (CPS), qui détermine si quelqu`un doit être poursuivi. La décision de prendre quelqu`un au tribunal est fondée sur un certain nombre de directives écrites, que les CPS doivent obéir.

Dans ce cas, les lignes directrices stipulent que la décision de poursuivre une personne en vertu de l`article 37 ne devrait être fait s`il y a une intention criminelle. Il ajoute également que, pour déterminer si un produit a été construit afin de faciliter un crime informatique, le procureur doit tenir compte de l`usage légitime, et les motivations derrière le construire.

Cela, effectivement, criminalise la production de logiciels malveillants, tout en permettant au Royaume-Uni d`avoir une industrie de la sécurité de l`information en plein essor.

"007 - License to Hack"

La loi Computer Misuse a de nouveau été mis à jour au début de 2015, bien tranquillement, et sans fanfare. Deux changements importants ont été apportés.

La première était que certains crimes informatiques au Royaume-Uni sont maintenant passibles d`une peine d`emprisonnement à vie. Ceux-ci seraient remis si le pirate avait l`intention et la connaissance leur action était non autorisée, et avait le potentiel de causer un "préjudice grave" à "bien-être humain et de la sécurité nationale» ou étaient «téméraire quant à savoir si un tel préjudice a été causé".

Ces phrases ne semblent pas appliquer à votre jardin variété adolescent mécontents. Au contraire, ils sont sauvés pour ceux qui lancent des attaques qui ont le potentiel de causer des dommages graves à la vie humaine, ou sont destinés à l`infrastructure nationale critique.

cma-GCHQ

Le deuxième changement qui a été faite a la police et les agents de renseignement de l`immunité de la législation sur la criminalité informatique existante. Certains ont applaudi le fait qu`il pourrait simplifier les enquêtes sur les types de criminels qui pourraient obscurcir leurs activités par des moyens technologiques. Bien que d`autres, à savoir Privacy International, étaient inquiets qu`il était mûr pour abus, et les freins et contrepoids suffisants ne sont pas en place pour ce type de législation existe.

Les modifications apportées à la Loi sur Computer Misuse ont été adoptées le 3 Mars 2015, et est entrée en vigueur le 3 mai 2015.

L`avenir de la Loi Computer Misuse

Le Computer Misuse Act est très bien un morceau vivant de la législation. Il est celui qui a changé tout au long de sa durée de vie, et va probablement continuer à le faire.

Le prochain changement probable est due à venir à la suite de l`Nouvelles du monde téléphone piratage scandale, et sera probablement définir les smartphones que les ordinateurs (qu`ils sont), et d`introduire le crime de l`information de libération avec l`intention.

Jusque-là, je veux entendre vos pensées. Pensez-vous que la loi va trop loin? Pas assez loin? Dites-moi, et nous bavardons ci-dessous.

Crédits photo: pirate et ordinateur portable Via Shutterstock, Brendan Howard / Shutterstock.com, Anonyme DDC_1233 / Thierry Ehrmann, GCHQ Building / MOD

» » La loi computer misuse: la loi qui criminalise hacking dans le royaume-uni