Voatz appelle à restreindre la recherche indépendante sur la cybersécurité dans un mémoire de la Cour suprême

Must Read

Pourquoi la crypto-monnaie Solana a-t-elle bondi de 10 000% en 2021 ?

La monnaie numérique Solana, SOL, a fait sensation au cours des dernières semaines et a incité de nombreux...

7 ans de prison pour le propriétaire d’un fonds crypto de 90 millions de dollars

Stephen He Chen, qui dirigeait un fonds spéculatif de 90 millions de dollars, a été condamné par le...

PDG de Binance : les institutions financières s’intéressent plus que jamais au Bitcoin et à la crypto-monnaie

Changpeng Zhao, PDG de Binance, estime qu'un nombre croissant d'institutions monétaires traditionnelles ont récemment tourné leur attention vers...

La start-up de vote de la blockchain Voatz a fait valoir que les programmes de bugs bounty concernant la cybersécurité devraient être gérés sous stricte supervision dans un mémoire «ami de la cour» devant la Cour suprême des États-Unis (SCOTUS).

Voatz a pesé jeudi sur Van Buren c. États-Unis, une affaire de la Cour suprême examinant si c’est un crime fédéral pour quelqu’un d’accéder à un ordinateur «à des fins inappropriées» s’il a déjà l’autorisation d’accéder à d’autres fichiers sur cet ordinateur.

Nathan Van Buren, le pétitionnaire dans l’affaire, est un ancien officier de police de Géorgie qui a été inculpé en vertu de la loi sur la fraude et les abus informatiques (CFAA) après avoir recherché une plaque d’immatriculation pour une connaissance. Van Buren affirme qu’une décision d’un tribunal inférieur qui a confirmé sa condamnation pourrait être interprétée comme signifiant que «toute« violation insignifiante »» d’un système informatique pourrait être un crime fédéral.

La portée de l’affaire semble s’être élargie, abordant non seulement les infractions, mais aussi la manière dont la CFAA elle-même peut être interprétée. La question listée dans les mémoires SCOTUS est la suivante:

«La preuve était-elle suffisante pour établir que le requérant, un sergent de police, a dépassé son accès autorisé à un ordinateur protégé pour obtenir des informations à des fins de gain financier, en violation de 18 USC 1030 (a) (2) (C) et (c) ( 2) (B) (i), en échange d’un paiement en espèces, il a effectué une recherche dans une base de données confidentielle des services répressifs pour savoir si une personne en particulier était un policier infiltré.

Les États-Unis, le défendeur, ont fait valoir que l’affaire est un «mauvais véhicule» pour examiner si la CFAA est trop large et ont déclaré dans leur mémoire que l’examen de SCOTUS n’est même pas justifié.

Dans son mémoire, Voatz affirme que la CFAA n’a pas besoin d’être réduite et que certaines violations des systèmes informatiques sont nécessaires. Cependant, le cabinet fait valoir que les chercheurs qui recherchent des vulnérabilités potentielles devraient spécifiquement vérifier auprès des entreprises qu’ils évaluent avant de le faire, et ne devraient procéder qu’avec l’autorisation des entreprises.

«Les programmes de primes aux bogues sont très efficaces», a écrit Voatz. «Ils sont extrêmement répandus dans l’industrie de la technologie, et même en dehors de ce secteur, une enquête réalisée en 2019 a révélé que 42% des entreprises en dehors de l’industrie de la technologie exécutaient un programme de cybersécurité participatif.

Le mémoire peut venir en réponse à un autre déposé par un groupe de chercheurs en sécurité qui soutiennent que la CFAA a en effet «été interprétée trop largement», ce qui freine les efforts de sécurité informatique. Ce mémoire critique Voatz parmi ses autres arguments.

Règles générales

Voatz a notamment été critiqué par des chercheurs en cybersécurité, y compris par une équipe du MIT qui a publié un rapport en février affirmant que Voatz avait une transparence insuffisante et que ses systèmes internes étaient confrontés à un certain nombre de vulnérabilités. Voatz a contesté les affirmations du rapport.

Trail of Bits, une autre société de cybersécurité sollicitée par Voatz pour effectuer un audit de ses systèmes, a confirmé les affirmations des chercheurs du MIT dans un rapport ultérieur.

Voatz s’est également disputé directement avec les chercheurs. À la fin de l’année dernière, le procureur américain Mike Stuart a annoncé que le FBI enquêtait sur «une tentative d’intrusion infructueuse» dans Voatz, probablement causée par un étudiant de l’Université du Michigan ou des étudiants participant à un cours de sécurité.

Dans son mémoire, Voatz a déclaré que «l’activité malavisée des étudiants» avait été signalée aux responsables de la Virginie-Occidentale parce que la société ne pouvait pas faire la distinction entre leurs recherches et une attaque hostile réelle.

«Indépendamment des détails, cependant, l’incident de Virginie-Occidentale illustre les dommages causés par l’attaque ou la« recherche »d’infrastructures critiques sans accès ni autorisation appropriés, en particulier au milieu d’une élection», a écrit Voatz.

Des chercheurs non malveillants qui tentent de s’introduire dans les outils numériques «imposent des coûts supplémentaires importants» aux organisations, selon le dossier juridique, et pourraient nuire à la confiance du public.

Jake Williams, qui a fondé Rendition Security, a déclaré à CNET qu’une «grande majorité» de chercheurs en cybersécurité n’ont probablement pas d’autorisation, ce qui signifie que le soutien de Voatz à un large CFAA «rendrait la tâche plus difficile à 100%» pour les chercheurs.

Le mémoire de Voatz intervient un jour après la publication d’un communiqué de presse affirmant que le Parti démocrate du Michigan a utilisé son application lors d’un récent congrès du parti lors du vote pour un certain nombre de postes. Le Parti démocrate du Michigan n’a pas immédiatement renvoyé une demande de commentaire.

Points de vue contraires

Mis à part les arguments de Voatz, son mémoire contient un certain nombre de citations et d’affirmations qui semblent manquer de contexte.

Voatz dit qu’il a été utilisé dans 70 élections, y compris des élections nationales et municipales, et affirme dans le mémoire qu’il est considéré comme une «infrastructure critique» par le Département de la sécurité intérieure.

Les élections incluent la Virginie-Occidentale (qui a annoncé en mars qu’elle n’utiliserait pas Voatz pour ses prochaines élections) et le comté d’Utah (dont le greffier et auditeur a reçu un don de campagne de 1500 $ du PDG d’Overstock, Jonathan Johnson, qui est également président de l’investisseur Voatz Medici Ventures. ).

La société a déclaré qu’elle répondait aux exigences de Pro V&V, un laboratoire de test du système de vote fédéral, mais selon le journaliste de Politico cybersécurité Eric Geller, “le rapport n’a pas de sens»Parce que les normes ont été établies il y a des années et que l’évaluation n’était pas objective.

Eddie Perez, directeur mondial du développement technologique à l’Open Source Election Technology Institute, a écrit que la Commission d’aide aux élections (EAC), l’entité fédérale qui a accrédité Pro V&V, n’a en fait aucune norme nationale pour les systèmes de vote à distance.

La CAE elle-même a publié une déclaration disant que «ces rapports de test ne doivent pas être considérés comme une approbation implicite par ni le [voting system test laboratories] ou le CAE que les systèmes évalués sont conformes à la [voluntary voting system guidelines] standard ou équivalent à un système de vote certifié EAC. »

«Actuellement, ces programmes sont organisés par Voatz lui-même, mais dans le passé, certains étaient menés par un fournisseur tel que HackerOne Inc.», indique le mémoire. Il n’a pas mentionné que HackerOne avait rompu ses liens avec Voatz en mars.

De plus, fondateur et CTO de HackerOne Alex Rice a déclaré sur Twitter que «nous soutenons les arguments opposés avancés par» l’Electronic Frontier Foundation (EFF), qui appelle à un rétrécissement de la CFAA, contrairement à Voatz, qui citait HackerOne dans le mémoire.

De même, Casey Ellis, fondateur et CTO de la plateforme de sécurité crowdsourced Bugcrowd, que Voatz a citée à plusieurs reprises, a aussi écrit qu’il a approuvé et soutenu le mémoire de l’EFF, et non celui de Voatz.

Rice et Ellis ont déclaré que Voatz ne les avait pas contactés avant de déposer le mémoire.

Divulgation

Chef de file de l’actualité blockchain, CoinDesk est un média qui s’efforce de respecter les normes journalistiques les plus élevées et qui respecte un ensemble strict de politiques éditoriales. CoinDesk est une filiale opérationnelle indépendante de Digital Currency Group, qui investit dans les crypto-monnaies et les startups blockchain.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisement -

Latest News

Pourquoi la crypto-monnaie Solana a-t-elle bondi de 10 000% en 2021 ?

La monnaie numérique Solana, SOL, a fait sensation au cours des dernières semaines et a incité de nombreux...

7 ans de prison pour le propriétaire d’un fonds crypto de 90 millions de dollars

Stephen He Chen, qui dirigeait un fonds spéculatif de 90 millions de dollars, a été condamné par le tribunal du district sud de...

PDG de Binance : les institutions financières s’intéressent plus que jamais au Bitcoin et à la crypto-monnaie

Changpeng Zhao, PDG de Binance, estime qu'un nombre croissant d'institutions monétaires traditionnelles ont récemment tourné leur attention vers les monnaies numériques, en particulier...

Dans le cas de Ripple et de la SEC : Ripple exige des réponses non évasives de la part de l’autorité

Un développement récent dans l'affaire Ripple et la SEC a vu Ripple déposer une réponse à l'opposition de la SEC concernant la requête...

Après une forte activité sur le réseau…Bitcoin franchit la barre des 48 000 $

Bitcoin, la plus grande crypto-monnaie au monde, a dépassé jeudi le niveau de prix de 48 400 $ après un bond important de...
- Advertisement -

More Articles Like This