Cinq raisons pour lesquelles le piratage est une recette pour le chaos de la cybersécurité

Une illustration conceptuelle montrant le piratage

Une illustration conceptuelle montrant le piratage Sally Thurer





Parfois, lorsque les décideurs politiques tentent de résoudre un problème, leur remède proposé ne ferait qu'empirer les choses. C'est certainement le cas du projet de loi américain qui donnerait aux victimes de cyberattaques la possibilité de traquer leurs agresseurs présumés.

Connu sous le nom d'Active Cyber ​​Defense Certainty Act, ou ACDC en abrégé, le projet de loi vise à permettre aux victimes d'essayer de traquer les attaquants en entrant dans les systèmes des organisations qu'ils soupçonnent que les pirates ont utilisés pour monter des assauts. Souvent, ces organisations peuvent être d'autres entreprises qui ne savent pas que leurs ordinateurs ont été compromis. Une loi américaine en vigueur interdit ce type de poursuite, connu sous le nom de piratage. Seuls quelques organismes gouvernementaux, comme le FBI, ont le pouvoir de traquer les pirates présumés de cette manière.

Les partisans du projet de loi, qui a été récemment présenté au Congrès américain, affirment que le FBI et d'autres agences gouvernementales sont déjà submergés par une vague de cyberattaques, y compris des rançongiciels qui ont paralysé les systèmes informatiques dans des villes comme Atlanta et Baltimore et des vols massifs de données dans de grandes entreprises. comme la chaîne hôtelière Marriott. En théorie, donner aux entreprises et aux particuliers le droit de faire leur propre chasse soutiendrait les efforts des agences.



Se défendant

Le gouvernement américain a signalé qu’il adoptait une approche plus proactive pour dissuader les cybermenaces . Mais les coparrains du projet de loi ACDC, le député républicain Tom Graves et le démocrate Josh Gottheimer, soutiennent que les entreprises et autres organisations du secteur privé ont besoin d'une plus grande liberté pour se défendre. Ils disent également que certaines entreprises sont déjà engagées dans certaines formes de vigilance numérique et que leur projet de loi éclaircirait la zone grise juridique qui l'entoure.

La législation proposée (dont le texte intégral se trouve au bas de l'article) modifierait une loi américaine existante, la Computer Fraud and Abuse Act (CFAA), pour permettre aux entreprises et aux particuliers de pirater pour localiser les attaquants persistants. Ils seraient également en mesure de surveiller les systèmes des pirates et de perturber leurs opérations.

Le projet de loi stipule que les nouveaux pouvoirs ne devraient être utilisés que par des défenseurs qualifiés qui ont un degré élevé de confiance dans l'identité de leurs agresseurs. Ils doivent informer le FBI et lui demander conseil avant de revenir en arrière, et faire de leur mieux pour éviter d'endommager les systèmes tiers et de déclencher une escalade des hostilités.



Tout cela peut sembler raisonnable, mais la loi ACDC est gravement défectueuse car :

1. La plupart des entreprises n'ont pas les compétences nécessaires pour affronter des agresseurs sophistiqués

Le projet de loi ne dit pas exactement ce qui qualifie une entreprise ou un individu en tant que défenseur qualifié. Ce flou pourrait permettre à toutes sortes d'entreprises de revenir en arrière. Mais alors que, disons, un Google a presque certainement le savoir-faire pour le faire efficacement, beaucoup d'autres ne le feront pas.



Sean Weppner, un ancien cyber-officier du département américain de la Défense qui travaille maintenant pour la société de cybersécurité Nisos, pense qu'il vaut mieux laisser le piratage aux gouvernements. Peu de gens ont l'expérience et l'expertise nécessaires pour le faire de manière nuancée et contrôlée, dit-il.

2. Il est vraiment difficile de savoir avec certitude qui se cache derrière une cyberattaque

Les pirates sont des maîtres de l'obscurcissement et couvrent généralement leurs traces en utilisant des choses comme des adresses IP falsifiées et des outils de piratage développé par d'autres . Il est également très difficile d'être certain qu'un ordinateur qui semble être à l'origine d'une attaque n'a pas lui-même été piraté. Cela pourrait facilement faire en sorte que les mauvais systèmes soient ciblés.



3. Le projet de loi n'offre aucune protection réelle lorsque les choses tournent mal

Il est très facile de causer des dommages involontaires aux ordinateurs de personnes innocentes. Même les pirates les plus sophistiqués produisent parfois du code qui a des conséquences imprévues.

Anne Toomey McKenna, professeur à la Penn State University, souligne que même si la loi ACDC était adoptée, elle laisserait toujours les entreprises passibles de poursuites civiles coûteuses aux niveaux fédéral et étatique si elles nuisaient aux ordinateurs ou aux données d'autres entreprises américaines. Et s'ils endommageaient des systèmes dans des pays étrangers, ils pourraient toujours être inculpés en vertu des lois nationales anti-piratage. Cela ouvre une porte aux entreprises [to hack back], dit-elle, mais cela ne les protège pas vraiment.

4. Le projet de loi entraînerait inévitablement des représailles dommageables

Le projet de loi stipule que ceux qui piratent devraient s'efforcer de ne pas aggraver les hostilités. Mais les pirates ne prendront pas à la légère les attaques contre leurs propres systèmes. Ayant déjà trouvé des failles dans les défenses numériques des victimes, elles pourraient bien en exploiter davantage si elles étaient provoquées.

5. Les entreprises privées pourraient se retrouver face à des États-nations

On pense que des pays comme la Corée du Nord, la Russie et l'Iran sont à l'origine de certaines des plus grandes cybermenaces auxquelles sont confrontées les entreprises aujourd'hui. Il ne serait certainement pas souhaitable qu'une seule entreprise s'en charge.

Sandra Joyce de la société de cybersécurité FireEye craint que si le projet de loi ACDC soit adopté, il pourrait également créer un précédent qui encouragerait d'autres pays à assouplir leurs propres lois anti-piratage. Certains pays pourraient être tentés de rendre le piratage beaucoup plus facile pour les entreprises qu'aux États-Unis. Cela créerait un risque encore plus élevé de cybercatastrophe, prévient Joyce.

Une meilleure approche serait que les entreprises se concentrent sur le renforcement de leurs défenses. De nombreuses violations sont toujours le résultat d'erreurs de sécurité de base, telles que des mots de passe mal protégés et des échecs de mise à jour régulière des logiciels.

Dans le même temps, les États-Unis doivent travailler plus dur avec leurs alliés pour promouvoir des normes internationales qui aideraient à désamorcer les tensions dans le cyberespace. Adopter une législation comme la loi ACDC ne ferait que créer une autoroute légale vers plus d'enfer de piratage.

cacher