Ce mois-ci, un tribunal américain se prononcera sur une affaire de piratage, dans le domaine du poker : un joueur, aidé d'un ami, a exploité la faille informatique d'une machine, dans un casino de las vegas.
Le lundi 6 juillet 2009, deux ingénieurs de la Commission de contrôle des jeux du Nevada se rendent au Silverton Casino Lodge de las vegas, pour inspecter la machine de poker 50102, comme le rapporte aujourd'hui le magazine Wired. Le fabricant de cette machine, International Game Technology, affiche 2 milliards de dollars de chiffre d'affaires par an.
Un habitant de las vegas, John Kane, a joué sur cette machine et a remporté le pactole de 8200 dollars. Mais le casino a eu des soupçons et le joueur n’a pas pu ramasser l’argent de sa dernière mise. Kane, âgé aujourd’hui de 54 ans, bénéficie d’un nombre important de gains ce jour-là : en à peine une heure, il remporte pas moins de cinq jackpots. Les ingénieurs réquisitionnent donc la machine pour l’emmener dans un laboratoire et l’analyser.
Ils découvrent alors que le joueur exploitait un bug dans la machine, existant depuis sept ans mais jusqu’ici toujours resté inconnu, une faille également présente dans neuf autres machines du même fabricant.
Une bataille juridique commence alors, devant un juge fédéral de las vegas. La problématique est la suivante : est-ce une violation de la loi fédérale anti-piratage ? Si oui, les auteurs du délit (Kane, aidé d’un ami, Andre Nestor), risquent alors 50000 dollars d’amende. Les procureurs plaident en faveur de cette qualification. Mais, à l’automne dernier, un magistrat constate que la loi sur la fraude informatique n’est pas applicable à ce cas précis : il demande le rejet de l’accusation pour piratage. L’affaire est alors portée devant une Cour fédérale des États-Unis, face au juge Miranda Du, qui doit se prononcer ce mois-ci.
Une loi obsolète
La loi sur la fraude informatique date de 1986 et avait été créée, à l’origine, pour punir les pirates qui « craquent » à distance des données liées à la Défense ou au secteur bancaire. La loi est, avec l’évolution de la technologie, devenue obsolète, trop floue et inappropriée pour être correctement appliquée. De nombreux militants, en soutien au défunt hacker Aaron Swartz, réclament une réforme de la loi mais pour l’instant aucun projet de loi n’a abouti.
Le destin de la loi sur les fraudes informatiques est actuellement en train de se jouer dans un autre procès dont on parle peu en France, mais qui pourrait changer beaucoup de choses, aux États-Unis. Il s’agit en effet de l’affaire de « David Nosal », ancien dirigeant d’un cabinet de recrutement : après son départ de la société, il avait demandé à deux employés de violer la politique de confidentialité en lui fournissant des informations sur des concurrents grâce à une base de données portant sur les entreprises. Le débat autour de l’application de cette loi controversée porte précisément sur l’expression « dépasser l’accès autorisé », extrait de la loi. Ce procès « U.S. vs Nosal » est fixé au 20 août prochain et devrait marquer un tournant historique, dpour l’avenir de la législation sur la fraude informatique.
« Juste un coup de chance ! »
L’avocat de Kane, Andrew Leavitt, défend son client en soulignant qu’il n’a fait que jouer avec les règles établies par la machine et que « c’est tout ce qui compte » : «Ce que vous voyez, dans la plupart des cas de fraude, ce sont des joueurs avec des aimants dans leur botte ou qui utilisent de l’électricité statique (…) Ces gars n’ont fait que pousser une séquences de touches, qu’ils ont légalement le droit de pousser. »
Kane, féru de poker, aurait découvert le bug accidentellement en appuyant sur un bouton trop tôt. Son avocat affirme donc qu’il n’y a pas eu de recherche de « pirater » mais qu’il n’a fait que jouer : « c’est un coup de chance ».
(source : linformaticien.com/Margaux Duquesne)