Voatz appelle à restreindre la recherche indépendante sur la cybersécurité dans un mémoire de la Cour suprême

Must Read

Quelques heures avant la cotation de CoinBase à la bourse du Nasdaq … Voici la chose la plus importante que vous devez savoir

Il va sans dire que le point culminant de cette semaine est la cotation directe des actions QueenBase...

La société “Nvidia” vise un chiffre d’affaires de 150 millions de dollars grâce au nouveau processeur minier Ethereum

Nvidia a annoncé hier, lundi 12 avril, qu'elle prévoit et estime générer 150 millions de dollars de chiffre...

Bitcoin et Ethereum atteignent des sommets sans précédent avant l’inscription à Coinbase (COIN)

Coinbase (COIN) devrait être coté au Nasdaq demain, le 14 avrilBitcoin et Ethereum ont atteint des valeurs record...

La start-up de vote de la blockchain Voatz a fait valoir que les programmes de bugs bounty concernant la cybersécurité devraient être gérés sous stricte supervision dans un mémoire «ami de la cour» devant la Cour suprême des États-Unis (SCOTUS).

Voatz a pesé jeudi sur Van Buren c. États-Unis, une affaire de la Cour suprême examinant si c’est un crime fédéral pour quelqu’un d’accéder à un ordinateur «à des fins inappropriées» s’il a déjà l’autorisation d’accéder à d’autres fichiers sur cet ordinateur.

Nathan Van Buren, le pétitionnaire dans l’affaire, est un ancien officier de police de Géorgie qui a été inculpé en vertu de la loi sur la fraude et les abus informatiques (CFAA) après avoir recherché une plaque d’immatriculation pour une connaissance. Van Buren affirme qu’une décision d’un tribunal inférieur qui a confirmé sa condamnation pourrait être interprétée comme signifiant que «toute« violation insignifiante »» d’un système informatique pourrait être un crime fédéral.

La portée de l’affaire semble s’être élargie, abordant non seulement les infractions, mais aussi la manière dont la CFAA elle-même peut être interprétée. La question listée dans les mémoires SCOTUS est la suivante:

«La preuve était-elle suffisante pour établir que le requérant, un sergent de police, a dépassé son accès autorisé à un ordinateur protégé pour obtenir des informations à des fins de gain financier, en violation de 18 USC 1030 (a) (2) (C) et (c) ( 2) (B) (i), en échange d’un paiement en espèces, il a effectué une recherche dans une base de données confidentielle des services répressifs pour savoir si une personne en particulier était un policier infiltré.

Les États-Unis, le défendeur, ont fait valoir que l’affaire est un «mauvais véhicule» pour examiner si la CFAA est trop large et ont déclaré dans leur mémoire que l’examen de SCOTUS n’est même pas justifié.

Dans son mémoire, Voatz affirme que la CFAA n’a pas besoin d’être réduite et que certaines violations des systèmes informatiques sont nécessaires. Cependant, le cabinet fait valoir que les chercheurs qui recherchent des vulnérabilités potentielles devraient spécifiquement vérifier auprès des entreprises qu’ils évaluent avant de le faire, et ne devraient procéder qu’avec l’autorisation des entreprises.

«Les programmes de primes aux bogues sont très efficaces», a écrit Voatz. «Ils sont extrêmement répandus dans l’industrie de la technologie, et même en dehors de ce secteur, une enquête réalisée en 2019 a révélé que 42% des entreprises en dehors de l’industrie de la technologie exécutaient un programme de cybersécurité participatif.

Le mémoire peut venir en réponse à un autre déposé par un groupe de chercheurs en sécurité qui soutiennent que la CFAA a en effet «été interprétée trop largement», ce qui freine les efforts de sécurité informatique. Ce mémoire critique Voatz parmi ses autres arguments.

Règles générales

Voatz a notamment été critiqué par des chercheurs en cybersécurité, y compris par une équipe du MIT qui a publié un rapport en février affirmant que Voatz avait une transparence insuffisante et que ses systèmes internes étaient confrontés à un certain nombre de vulnérabilités. Voatz a contesté les affirmations du rapport.

Trail of Bits, une autre société de cybersécurité sollicitée par Voatz pour effectuer un audit de ses systèmes, a confirmé les affirmations des chercheurs du MIT dans un rapport ultérieur.

Voatz s’est également disputé directement avec les chercheurs. À la fin de l’année dernière, le procureur américain Mike Stuart a annoncé que le FBI enquêtait sur «une tentative d’intrusion infructueuse» dans Voatz, probablement causée par un étudiant de l’Université du Michigan ou des étudiants participant à un cours de sécurité.

Dans son mémoire, Voatz a déclaré que «l’activité malavisée des étudiants» avait été signalée aux responsables de la Virginie-Occidentale parce que la société ne pouvait pas faire la distinction entre leurs recherches et une attaque hostile réelle.

«Indépendamment des détails, cependant, l’incident de Virginie-Occidentale illustre les dommages causés par l’attaque ou la« recherche »d’infrastructures critiques sans accès ni autorisation appropriés, en particulier au milieu d’une élection», a écrit Voatz.

Des chercheurs non malveillants qui tentent de s’introduire dans les outils numériques «imposent des coûts supplémentaires importants» aux organisations, selon le dossier juridique, et pourraient nuire à la confiance du public.

Jake Williams, qui a fondé Rendition Security, a déclaré à CNET qu’une «grande majorité» de chercheurs en cybersécurité n’ont probablement pas d’autorisation, ce qui signifie que le soutien de Voatz à un large CFAA «rendrait la tâche plus difficile à 100%» pour les chercheurs.

Le mémoire de Voatz intervient un jour après la publication d’un communiqué de presse affirmant que le Parti démocrate du Michigan a utilisé son application lors d’un récent congrès du parti lors du vote pour un certain nombre de postes. Le Parti démocrate du Michigan n’a pas immédiatement renvoyé une demande de commentaire.

Points de vue contraires

Mis à part les arguments de Voatz, son mémoire contient un certain nombre de citations et d’affirmations qui semblent manquer de contexte.

Voatz dit qu’il a été utilisé dans 70 élections, y compris des élections nationales et municipales, et affirme dans le mémoire qu’il est considéré comme une «infrastructure critique» par le Département de la sécurité intérieure.

Les élections incluent la Virginie-Occidentale (qui a annoncé en mars qu’elle n’utiliserait pas Voatz pour ses prochaines élections) et le comté d’Utah (dont le greffier et auditeur a reçu un don de campagne de 1500 $ du PDG d’Overstock, Jonathan Johnson, qui est également président de l’investisseur Voatz Medici Ventures. ).

La société a déclaré qu’elle répondait aux exigences de Pro V&V, un laboratoire de test du système de vote fédéral, mais selon le journaliste de Politico cybersécurité Eric Geller, “le rapport n’a pas de sens»Parce que les normes ont été établies il y a des années et que l’évaluation n’était pas objective.

Eddie Perez, directeur mondial du développement technologique à l’Open Source Election Technology Institute, a écrit que la Commission d’aide aux élections (EAC), l’entité fédérale qui a accrédité Pro V&V, n’a en fait aucune norme nationale pour les systèmes de vote à distance.

La CAE elle-même a publié une déclaration disant que «ces rapports de test ne doivent pas être considérés comme une approbation implicite par ni le [voting system test laboratories] ou le CAE que les systèmes évalués sont conformes à la [voluntary voting system guidelines] standard ou équivalent à un système de vote certifié EAC. »

«Actuellement, ces programmes sont organisés par Voatz lui-même, mais dans le passé, certains étaient menés par un fournisseur tel que HackerOne Inc.», indique le mémoire. Il n’a pas mentionné que HackerOne avait rompu ses liens avec Voatz en mars.

De plus, fondateur et CTO de HackerOne Alex Rice a déclaré sur Twitter que «nous soutenons les arguments opposés avancés par» l’Electronic Frontier Foundation (EFF), qui appelle à un rétrécissement de la CFAA, contrairement à Voatz, qui citait HackerOne dans le mémoire.

De même, Casey Ellis, fondateur et CTO de la plateforme de sécurité crowdsourced Bugcrowd, que Voatz a citée à plusieurs reprises, a aussi écrit qu’il a approuvé et soutenu le mémoire de l’EFF, et non celui de Voatz.

Rice et Ellis ont déclaré que Voatz ne les avait pas contactés avant de déposer le mémoire.

Divulgation

Chef de file de l’actualité blockchain, CoinDesk est un média qui s’efforce de respecter les normes journalistiques les plus élevées et qui respecte un ensemble strict de politiques éditoriales. CoinDesk est une filiale opérationnelle indépendante de Digital Currency Group, qui investit dans les crypto-monnaies et les startups blockchain.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisement -

Latest News

Quelques heures avant la cotation de CoinBase à la bourse du Nasdaq … Voici la chose la plus importante que vous devez savoir

Il va sans dire que le point culminant de cette semaine est la cotation directe des actions QueenBase...

La société “Nvidia” vise un chiffre d’affaires de 150 millions de dollars grâce au nouveau processeur minier Ethereum

Nvidia a annoncé hier, lundi 12 avril, qu'elle prévoit et estime générer 150 millions de dollars de chiffre d'affaires au premier trimestre 2022,...

Bitcoin et Ethereum atteignent des sommets sans précédent avant l’inscription à Coinbase (COIN)

Coinbase (COIN) devrait être coté au Nasdaq demain, le 14 avrilBitcoin et Ethereum ont atteint des valeurs record de 63657 $ et 2294...

Le PDG de Kraken met en garde contre d’éventuelles réglementations cryptographiques aux États-Unis

La croissance explosive de l'arène du bitcoin et du secteur de la crypto-monnaie dans son ensemble a attiré l'attention des régulateurs mondiaux. M. Jesse...

Le patron de Celsius prédit que Bitcoin finira l’année à environ 100000 $

Le directeur général de Celsius Network a prédit que Bitcoin atteindra 100000 dollars avant l'année prochaine. Alex Mashinsky, PDG de la société de...
- Advertisement -

More Articles Like This