Les plans de cybersécurité de la Russie

Jeudi, à Capitol Hill, le directeur de la National Security Agency, le lieutenant-général Keith Alexander, a déclaré que la menace pour les réseaux informatiques américains augmentait, avec des centaines de milliers de sondes par jour. Alexander, qui devrait diriger un nouveau cyber-commandement pour faire face à cela, a qualifié de territoire inexploré la perspective que les États-Unis lancent des représailles cybernétiques contre de futures attaques informatiques.





La veille, j'ai eu l'occasion d'interviewer un éminent responsable russe de la cybersécurité pour connaître son point de vue. J'ai demandé à Vladislav Sherstuyuk, un général à la retraite qui dirige l'Institut des questions de sécurité de l'information à l'Université d'État de Moscou et siège au Conseil de sécurité nationale du pays, si la Russie développait des cyberarmes offensives. Par l'intermédiaire d'un traducteur, il m'a donné cette réponse : Il n'y a pas que la Russie. C'est juste le 21ème siècle. C'est à cause de la haute technologie. Nous n'avons pas inventé Internet. Ce n'est pas la Russie qui a inventé Internet. Sans Internet, il n'y aurait pas de cyberarmes, de cyberattaques.

Un rapport publié à la fin de l'année dernière par la société de sécurité informatique McAfee - un rapport basé sur des entretiens avec des experts tiers - a déclaré que la Russie, les États-Unis, la Chine, la France et Israël développaient tous la capacité d'attaquer et de paralyser les réseaux informatiques, y compris ceux qui exploiter des infrastructures critiques telles que des réseaux électriques.

Sherstuyuk a organisé une cybersécurité conférence cette semaine à Garmisch-Partenkirchen, en Allemagne, qui représentait les efforts de son pays pour établir les règles d'engagement. La réunion était remarquable en ce qu'il s'agissait du premier événement parrainé par la Russie auquel assistaient des responsables de la Maison Blanche et du Département d'État. La Russie veut forger une sorte d'accord de contrôle des armements informatiques, mais les États-Unis sont principalement intéressés à forger des accords formels pour lutter contre la cybercriminalité.



Sherstuyuk m'a expliqué sa position. Aujourd'hui, nous parlons d'armes d'information, de cyberarmes, et il y a beaucoup de points communs entre les armes nucléaires et les cyberarmes, car les cyberarmes peuvent affecter un grand nombre de personnes ainsi que le nucléaire, a-t-il déclaré. Mais il y a une grande différence entre eux. Les cyberarmes sont très bon marché, presque gratuites.

Alors même que de telles armes sont développées, les nations essaient de plus en plus de travailler ensemble pour lutter contre le crime et repousser de telles attaques. D'où la scène de mercredi soir à l'hôtel Nessen de Partenkirchen, où des plateaux de porc et de jambon et des shots de schnaps – parrainés par le ministère russe de l'Intérieur – ont été distribués aux 140 participants, dont des chercheurs ou des responsables gouvernementaux d'Inde, de Chine, d'Israël et d'autres nations, outre les États-Unis.

Mais différentes nations abordent le problème sous différents angles. La Maison Blanche a fait de la cybercriminalité sa priorité absolue. Le directeur principal de la cybersécurité à la Maison Blanche, Christopher Painter, s'est rendu à la conférence pour dire mardi aux hôtes russes que la menace prédominante à laquelle nous sommes confrontés est la menace criminelle – la menace de la cybercriminalité sous tous ses aspects variés. La fraude bancaire en ligne et d'autres crimes similaires qui ont été extrêmement coûteux pour les entreprises américaines. (La Russie est l'une des principales sources de tels crimes, mais le pays a refusé de signer une convention de coopération criminelle, s'opposant à une disposition qui permettrait aux forces de l'ordre d'accéder à ses réseaux.)



La Russie a d'autres priorités. Sherstuyk m'a dit que la Russie elle-même est plus préoccupée par l'utilisation d'Internet par des terroristes pour recruter, organiser, planifier et exécuter des attaques conventionnelles à l'intérieur de la Russie. Il y a à peine deux semaines, deux femmes kamikazes ont explosé dans le métro de Moscou, tuant 39 personnes. Nous n'avons pas encore d'exemples de cyberterrorisme, a déclaré le général, faisant référence aux attaques contre les réseaux informatiques. Donc [le problème] concerne davantage les informations que vous pouvez obtenir sur Internet, les informations sur les attaques terroristes à venir, afin que nous puissions surveiller les aéroports et les gares pour observer s'il y a des attaques ou non.

S'il y a une préoccupation sur laquelle toutes les parties s'entendent, c'est la nécessité d'être mieux en mesure de déterminer qui est à l'origine de l'attaque – un problème connu sous le nom d'attribution. Il peut être difficile, voire impossible, de déterminer si des pirates informatiques malveillants ou un ministère de la Défense nationale sont à l'origine d'une attaque, comme celles visant les réseaux informatiques estoniens en 2007. L'amélioration de l'attribution pourrait être obtenue en réduisant la confidentialité en ligne, mais elle pourrait également être obtenue grâce à une meilleure coopération. entre les nations pour partager les informations existantes. Nous voulons faire confiance et aider à établir les règles dans le domaine de l'information, m'a dit le général à la retraite. Et je parie qu'il y a beaucoup de choses que nous pouvons faire ensemble.

Dans des réponses écrites à la commission sénatoriale des forces armées avant son témoignage jeudi, Alexander a déclaré qu'il était raisonnable de supposer que la riposte des tirs dans le cyberespace était légale. Ses réponses écrites ont été publiées par Le Washington Post ici .



Lors du dîner du mardi, divers toasts ont été portés, mais aucun n'est plus vigoureux que celui porté par un participant russe en l'honneur de Sherstuyuk lui-même. Hourra, Sherstuyuk ! il pleure. Painter, qui est un procureur fédéral vétéran des crimes informatiques, a fait de son mieux pour contribuer à la gaieté. Invité à porter un toast, il a offert quelques commentaires prudents. Ensuite, il raconta une blague à propos d'un pirate informatique qui avait obtenu trois vœux d'un génie, à condition que les autres pirates obtiennent le double de ce qu'il avait souhaité. Le premier souhait était d'avoir un million de numéros de carte de crédit. La seconde était qu'un supercalculateur brise les clés cryptographiques. Le troisième était qu'il puisse faire don d'un de ses reins.

cacher