211service.com
Le ministère de la Défense veut plus de contrôle sur Internet
Le département américain de la Défense a peut-être financé la recherche qui a conduit à Internet, mais l'innovation en roue libre a créé le patchwork de technologies privées qui composent Internet aujourd'hui. Maintenant, le gouvernement américain essaie de reprendre un certain contrôle, alors qu'il s'adapte à une époque où les cyberattaques contre les entreprises et les agences gouvernementales américaines sont courantes.
Hier, lors de la conférence sur la sécurité informatique de la RSA, des représentants de la Maison Blanche, du département américain de la Défense et de la National Security Agency ont déclaré que la sauvegarde des intérêts américains les obligeait à jouer un rôle plus actif dans la gouvernance de ce qui était une ressource civile purement commerciale. Mais certains experts craignent que l'influence croissante des organisations de défense et militaires sur le fonctionnement et le développement futur d'Internet ne compromette la liberté qui a fait son succès.
Le DoD est contraint de supprimer un demi-billion de son budget au cours de la prochaine décennie, mais les dépenses consacrées à la cyberdéfense augmenteront, a déclaré le secrétaire adjoint à la Défense. Ashton Carter dans une allocution à la conférence. Des navires, des avions, des forces terrestres, beaucoup d'autres choses sont sur le sol de la salle de coupe, pas sur le cyber, a-t-il déclaré. Les investissements sont de plusieurs milliards, [et] nous continuons d'augmenter nos investissements.
Les commentaires faits par des collègues de Carter plus tard dans la journée ont clairement indiqué que cet argent ne sera pas seulement utilisé pour renforcer les systèmes gouvernementaux. La NSA et le DoD ont l'intention de façonner la manière dont les entreprises privées construisent et utilisent l'infrastructure Internet, et demandent aux entreprises de les aider à réagir plus activement pour détecter et nettoyer après une attaque.
Nos systèmes dépendent de produits et d'infrastructures de sécurité du secteur privé, a déclaré Debora Plunkett, directrice de la Direction de l'assurance de l'information de la NSA, qui supervise la cybersécurité pour tous les systèmes de sécurité nationaux. Elle a déclaré que la NSA souhaitait encourager les entreprises privées à automatiser les bases fastidieuses, manuelles et souvent négligées de la sécurisation des réseaux informatiques. Nous avons besoin de l'aide de l'industrie, a-t-elle déclaré. Nous passons trop de temps sur l'hygiène du réseau : correctifs manquants, mots de passe médiocres, vulnérabilités connues.
Le type d'automatisation que Plunkett souhaite voir modifierait considérablement le fonctionnement de l'infrastructure Internet. Il devrait être possible, a-t-elle dit, pour une entreprise ou une agence de demander rapidement à des éléments de matériel réseau de supprimer les connexions ou d'isoler les systèmes informatiques lorsqu'une attaque frappe, ce qui va à l'encontre de la tradition selon laquelle le matériel Internet est indépendant et difficilement soumis à un contrôle centralisé. . La start-up bien financée Nicira a récemment lancé une technologie qui pourrait y parvenir, et elle est connue pour travailler avec les agences de renseignement américaines.
Plunkett a également déclaré qu'elle espérait que la NSA pourrait développer et encourager l'utilisation de technologies qui rendent les appareils mobiles plus sûrs, à l'intérieur et à l'extérieur du gouvernement. L'une de mes plus grandes priorités est de fournir des téléphones intelligents et des tablettes sécurisés, a-t-elle déclaré. Bien que les ministères, comme beaucoup dans le secteur privé, abandonnent leurs BlackBerry pour les téléphones intelligents exécutant les logiciels Apple ou Google, ces derniers sont considérés comme des appareils à sécurité relativement faible qui peuvent être des points faibles permettant aux attaquants.
Richard Hale, directeur adjoint de l'information du ministère de la Défense pour la cybersécurité, a déclaré que son ministère avait commencé à partager des informations classifiées sur la cyberdéfense avec 36 entreprises industrielles jugées vitales ; en retour, ces entreprises sont censées partager des informations sur les attaques qu'elles subissent.
S'exprimant aux côtés de Hale et Plunkett, Howard Schmidt de l'administration Obama a déclaré que l'époque où Internet se développait de manière organique et sans impératif centralisé d'intégrer des canaux de sécurité ou de contrôle devait prendre fin. Ne nous contentons pas de le déployer comme nous le faisions avant, puis résolvons le problème, a-t-il déclaré. Nous devons vraiment changer cela, pour donner plus de mal à quiconque essaie de s'introduire dans nos systèmes. Si nous ne le faisons pas, nous souffrons tous.
L'administration Obama a déposé une législation qui donnerait au Department of Homeland Security le pouvoir de surveiller activement les systèmes des entreprises exploitant des infrastructures critiques ; et déjà les responsables de la Maison Blanche et du Département de la sécurité intérieure ont lancé un programme de surveillance étroite des entreprises qui exploitent le réseau électrique américain.
Cependant, certains politiciens et initiés du gouvernement commencent à faire pression pour que le DoD et la NSA jouent un plus grand rôle. Le sénateur John McCain (R-Arizona) a déclaré au Congrès ce mois-ci (complet déclaration ) que seuls la NSA et le U.S. Cyber Command, deux organisations du DoD dirigées par le général Keith Alexander, peuvent protéger les États-Unis.
Michael Hayden, ancien directeur de la NSA et de la CIA, a déclaré que de nombreuses personnes étaient d'accord avec McCain pour dire que l'armée, en particulier la NSA, devrait être aux commandes. La [NSA] représente trop de capacités pour être laissée en marge de cette question. Comme McCain, il a déclaré que la NSA devrait surveiller activement les systèmes des entreprises exploitant des infrastructures cruciales et intervenir si une attaque était détectée.
Ron Diebert, directeur du Centre canadien d'études sur la sécurité mondiale et chef de l'équipe qui a découvert la cyberattaque GhostNet contre le Dalaï Lama et diverses ambassades en Chine en 2009, s'est dit préoccupé par l'influence croissante du DoD. L'introduction d'un contrôle plus centralisé de l'infrastructure Internet enverrait le mauvais message à des pays comme la Russie et la Syrie, qui utilisent déjà des cyberattaques ou la censure contre leurs propres citoyens, a-t-il déclaré, ajoutant qu'Internet pourrait devenir fragmenté et verrouillé plutôt que ouvert.
Hayden a reconnu qu'il y avait un risque que les grands principes d'Internet soient endommagés, mais a déclaré qu'attendre que des parties non militaires du gouvernement développent l'expertise nécessaire était trop risqué. Une réticence à s'attaquer à ces problèmes cédera le terrain à d'autres qui ont l'intention de nous faire du mal. Quelque chose de catastrophique va arriver et alors nous réagirons de manière excessive.
Jim Dempsey, vice-président des politiques publiques du groupe de réflexion Center for Democracy & Technology, a déclaré que la militarisation d'Internet serait une erreur. Comment en sommes-nous arrivés à ce point où les ressources les plus efficaces pour sécuriser la centralité d'Internet dans notre société se trouvent dans une agence militaire top-secrète ? Dire qu'il n'y a qu'un seul endroit où aller pervertira notre technologie et notre société.