Lorsqu’une faille dans la sécurité du système d’opération Tru64 Unix a été publiée dans liste d’envoi Bugtraq de SecurityFocus.com, HP a raté une belle occasion de se montrer à la hauteur.

En effet, plutôt que d’annoncer que le problème était réglé – ce qui n’est pas encore fait – ou encore d’annoncer qu’une rustine serait publiée sous peu – ce qui n’a pas été fait non plus – HP a plutôt sorti le bâton juridique, exigeant le retrait du code de l’exploit et menaçant son auteur de poursuites.

Ce n’est là que le plus récent cas démontrant à quel point une loi américaine, la Digital Millenium Copyright Act (DMCA), outrepasse de beaucoup les intentions ayant mené à son adoption. En effet, l’objectif était de mieux encadrer tout ce qui touche droit d’auteur à l’ère numérique. Cependant, de par sa formulation, la loi permet une interprétation beaucoup plus large, affectant de nombreuses situations où le droit d’auteur n’est nullement en cause.

Comme le souligne Robin Gross, avocat pour l’organisme sans but lucratif Electronic Frontier Foundation (EFF), «c’est le genre de chose que nous pouvons nous attendre de voir maintenant que la DMCA a donné des pouvoirs aussi larges aux détenteurs de droits d’auteurs.»

Dans les faits, la DMCA est sujette à une interprétation tellement large dans ce qu’elle interdit qu’elle empêche les chercheurs de révéler des faiblesses dans la sécurité de systèmes d’opération, même si cela n’a absolument rien à voir avec les droits d’auteurs.

Par exemple, EFF a défendu la cause d’un professeur de l’Université Princeton, Ed Felten, après qu’il fut menacé de poursuite par la Recording Industry Association of America (RIAA) tout simplement parce qu’une conférence qu’il allait présenter devait inclure une présentation sur les faiblesses d’un système d’identification numérique.

Dans le cas présent, HP avait été informé depuis l’an dernier de l’existence de cette faille dans son système Tru64 Unix. Or, il apparaît logique que si une faille du système – permettant à un pirate de prendre effectivement le contrôle de la machine opérant sous le système Tru64 Unix – est rendue publique, on rend service aux utilisateurs - et aux fabricants - du système en question en les informant du problème et de la méthode permettant d’y arriver.

En réagissant de la sorte, HP risque d’atteindre l’opposé de ses objectifs. Le problème que l’on voulait garder sous silence est maintenant plus publicisé que jamais, tout comme le fait que la compagnie savait depuis l’an dernier que la faille existait.

De plus, la nature même de la menace de poursuites faite par HP servira peut-être à faire réfléchir les législateurs américains sur l’ampleur excessive de ce que couvre la loi.