lundi 27 mai 2013

Loi du (cyber) Talion : dérapages et absurdité à tous les étages

Identifier des cyber-attaquants pour pouvoir ensuite réagir en les attaquant soi-même, voilà une idée folle qui, si elle n'était pas proposée par une commission américaine officielle, serait à proprement parler consternante et d'une efficacité douteuse ! Dans un rapport de 100 pages, la Commission contre le vol de la propriété intellectuelle (1) recommande d'autoriser les entreprises du secteur privé à "activement récupérer leurs informations volées du réseau informatique de l'attaquant puis de le rendre indisponible voire le détruire sans aucune limitation".

L'approche utilisée est de considérer que la réglementation internationale mais aussi nationale, en dépit du renforcement de l'arsenal réglementaire par l'administration Obama, sont insuffisantes et sans effets. La commission propose donc de renforcer le coût d'une attaque ciblant les entreprises US en autorisant l'emploi d'outils cybernétiques offensifs par ces mêmes entreprises en vue de mener des actions de rétorsion !


Les limites à l'efficacité de cette proposition réellement radicale sont multiples, tant du point de vue technique (2) que juridique (3). Sa mise en œuvre ne pourrait qu'accélérer la militarisation du cyberespace par l'entrée des nouveaux acteurs, du secteur privé cette fois-ci, que sont les entreprises. Aux considérations géopolitiques, il faut également adjoindre celles économiques, inscrites dans le "patrimoine génétique" de tout homme ou femme politique américain. Accepter que des acteurs privés puissent se doter de capacités cybernétiques offensives favoriserait naturellement, si l'on peut dire, les puissantes entreprises américaines de cybersécurité. Une initiative qui serait donc bénéfique pour les affaires !

On notera avec circonspection que ce rapport vise nommément la Chine et vient illustrer, comme les récents rapports Mandiant (4) et du Pentagone, le changement d'attitude des USA, bien plus agressive. Face à ce qu'ils considèrent comme un pillage en règle des données de ses agences fédérales et entreprises, en particulier du secteur de la défense. Une tendance possible qu'il conviendra d'observer tandis que des discussions se sont engagées ces dernières semaines (5) entre l'administration Obama et les dirigeants chinois pour convenir d'une sorte de "gentleman agreement" du cyberespionnage.

Enfin, il parait sain de se référer à un cas concret qui vient illustrer une partie des problèmes soulevés. Il s'agit de l'affaire HBGary vs Anonymous au début de l'année 2011. Si la première, société d'expertise cybersécurité de premier plan à choisi de réagir discrètement par des attaques techniques ciblant les réseaux Anonymous, la réaction de ces derniers s'est faite encore plus virulrente et a démontré la redoutable inefficacité de la réaction. HBGary a subi davantage de cyberattaques, de nouvelles informations confidentielles ont été extraites et par la suite diffusées. 

Cette affaire a illustré combien le remède avait été pire que le mal et, dans ce cadre, il est assez aisé d'imaginer les conséquences possibles d'une entreprise qui s'en prendrait à des unités étatiques menant des actions offensives. Erreurs, victimes innocentes et risques d'escalade s'inviteraient dans une équation qui ressemble fort à une nouvelle boîte de Pandore qu'ouvrirait sans nul doute ce genre d'initiative absurde.


(1) Commission on the Theft of American Intellectual Property
(2) quasi-impossibilité de l'attribution, possibilités de vraies-fausses attaques entre concurrents, etc., les possibilités de malveillances en retour donnent le vertige
(3) illégales du point de vue légal US mais absentes  de la réglementation international. La réflexion juridique concernant le cyberespace demeure complexe et réclame de s'y intéresser (recherche, colloques) pour proposer des solutions au niveau international 
(4) Avec sans doute un mélange d'intentions plus ou moins louables

Aucun commentaire: