Chronique juri-geek

Chronique juri-geek

Cybersécurité globale : pour les USA et l’Australie, la meilleure défense c’est l’attaque

Salle informatique du Defense Information Systems Center à Oklahoma City, USA. AIR FORCE, CC BY

Alors que le président Donald Trump renonce à toute coopération avec Vladimir Poutine, à l’autre bout de la planète l’Australie offre de super pouvoirs à son agence nationale de surveillance : riposter à une cyberattaque sur le territoire d’un État tiers. Un tel pouvoir de rétorsion est sur le point d’être conféré aux entreprises américaines.

Australie : le mauvais élève de la cybersécurité légalise la cybercontre-attaque.

L’Australie a décidé de légaliser la cyberattaque comme moyen de représailles. Annoncée fin juin 2017, cette directive d’une portée exceptionnelle autorise l’agence de cybersurveillance (Australian Signals Directorate) à utiliser des opérations de cyberguerre offensives non-seulement dans le cadre d’opérations militaires mais aussi contre des attaquants civils situés à l’étranger (on parle de « hack back »).

Cette décision est une extraordinaire première puisqu’elle consiste à reconnaître publiquement des opérations initialement clandestines. Le pays est en tout cas conforme à son slogan national : « There’s nothing like Australia ».

C’est le ministère de la Défense qui devra approuver de telles opérations qui seront couvertes par l’Intelligence Service Act (2001). En effet, depuis 2014, le réseau australien du cybercrime a enregistré 114 000 attaques, dont près de 24000 durant ces six derniers mois. La plus marquante fut celle lancée récemment depuis l’Espagne ayant généré la fermeture temporaire de la société Cadbury en Tasmanie. L’extension de ces opérations est aussi une réponse au rapprochement de certains acteurs étatiques avec les réseaux criminels responsables des attaques.

À l’occasion du sommet du G20 à Hambourg, le premier ministre australien Malcolm Turnbull a organisé un cycle de discussion sur la cybersécurité avec les États-Unis d’Amérique, le Royaume-Uni, le Canada et la Nouvelle-Zélande (groupe dit des « five eyes »). L’objectif affiché est de généraliser les portes dérobées sur les ordinateurs, tablettes et téléphones mobiles, imposant ainsi aux fabricants de permettre l’accès à toutes ces interfaces de navigation. Les experts en cybersécurité y voient au contraire une vulnérabilité supplémentaire, donc une menace de plus pour l’économie globale.

Cette annonce renforce la reconnaissance d’un besoin croissant pour une coopération internationale sur la cybersécurité, domaine d’activité crucial pour l’Index global sur la cybersécurité où, selon l’Union Internationale des Télécommunications (agence onusienne dédiée aux TICs), l’Australie chute de la 3e à la 7e place.

Publié le 6 juillet dernier cet indice mondial mesure l’engagement des pays en matière de cybersécurité dans cinq domaines : cadre juridique, mesures techniques, structures organisationnelles, renforcement des capacités et coopération internationale. L’Australie montre un niveau d’engagement faible sur le pilier coopération où trois éléments sont dans le rouge : les accords bilatéraux et multilatéraux et les partenariats public-privé. Elle se retrouve loin derrière Singapour, la Malaisie et la France sur ces critères du classement.

L’UIT cite en modèle la participation active de la Finlande (au Conseil de l’Europe, à l’OSCE et aux Nations Unies, ainsi que son partenariat avec l’OTAN) et le partenariat du Royaume-Uni avec la société Netcraft. L’objectif de cet index est d’aider les pays à identifier les axes d’amélioration dans le domaine de la cybersécurité. Or, avec une stratégie aux antipodes de la coopération globale, le pays précipitera sa chute dans l’indice de l’UIT ce qui ne semble pas le préoccuper.

Les États-Unis d’Amérique créent la cyberlégitime défense : les victimes de cyberattaques pourront prendre des mesures de représailles sans encourir de poursuites pénales

Le hack back n’est pas l’apanage des États, il est parfois légalisé au profit des victimes elles-mêmes. C’est en tous cas le sens du projet déposé par Tom Graves (Républicain) au Congrès. Le texte offre aux victimes (organismes) la possibilité de riposter en réponse à une cyberattaque et de pourchasser les attaquants qu’ils soient des organismes ou des individus au-delà de leur réseau national pour récupérer leurs données, prévenir d’autres attaques et coopérer avec les autorités sans avoir à obtenir d’autorisation préalable (Active Cyber Defense Certainty Act ACDC).

Le texte répond à l’impatience des entreprises face à un État qui, selon elles, ne se montre pas suffisamment réactif : elles seront bientôt en mesure d’identifier les attaquants, stopper l’attaque et prendre des mesures de rétorsion qu’elles jugent appropriées. Des mesures d’encadrement à l’exercice de ce droit sont prévues telles que la notification préalable au FBI, le reporting des mesures de défense actives adoptées et l’interdiction de causer un préjudice physique ou financier ou de créer une menace à la santé publique et à la sécurité. Le texte serait révisé après une période de 2 ans.

Un manque de lucidité sur la réalité du cybercrime et de la cybersécurité.

Les organisations ciblées par les attaques connaissent des vulnérabilités : pas sûr qu’elles aient les moyens techniques de procéder à de telles ripostes, mais surtout de remonter jusqu’à leur assaillant. Les attaques Wannacry et Petya/NotPetya ont bien démontré que l’attribution d’une cyberattaque est loin d’être aisée même pour les États dotés d’un arsenal de haut niveau. Comment des entreprises au vu de leurs moyens et ressources limitées pourraient-elles bien réussir là où les services du renseignement échouent ? Comment alors leurs représailles pourraient-elles avoir une quelconque légitimité ?

De plus, les attaques utilisent en relais des infrastructures détenues par des tiers (par exemple un site web reposant sur un service de cloud computing) : le risque d’identifier faussement l’assaillant et de le cibler en hack back est donc réel. Celui qui riposte pourrait donc « se tromper » de cible, générant ainsi un nouveau préjudice dont il sera responsable.

Enfin, les maligniciels qui visent les industries (Industroyer, Stuxnet) peuvent effacer les données de programmation du système rendant impossible la récupération des données ou le renversement de la manœuvre opérée par l’auteur des faits. Tel fut le cas en Ukraine lors de l’attaque sur le réseau électrique : les techniciens ont dû remettre le courant manuellement en prenant de grands risques. L’objectif de récupération des données ou de relance d’une activité gelée par l’attaque ne sera donc pas atteint par ce biais.

Très critiquable donc, cette mesure reflète « ce qui arrive quand on prend des décisions sur la base d’informations limitées avec une mentalité de cowboy » (Ira Winkler).

Les cyberattaques sont trop souvent traitées par les médias de manière anxiogène : « le monde a peur », « une attaque sans précédent » (repris après chaque attaque…), le tout sans réels arguments, alors que la crainte majeure se situe plutôt dans le blanc-seing offert aux organisations de pratiquer une légitime cyberdéfense sous couvert de protéger leurs actifs. Rappelons que si Wannacry a touché le Service de santé anglais (NHS) c’est avant tout parce que le Royaume-Uni n’avait pas jugé utile de protéger son infrastructure malgré de multiples mises en garde plusieurs mois auparavant et alors que les correctifs étaient disponibles. Les actions des États-Unis d’Amérique et de l’Australie ne feront qu’envenimer le malaise de cette « cité de la peur » dans laquelle elles nous plongent.