Blog GlobalSign

24 avr. 2018

Synthèse : le projet de loi « Active Cyber Defense Certainty » aux E-U autoriserait la cyberriposte en cas d’attaque

Le représentant américain de l’État de Géorgie, Tom Graves, a proposé l’année dernière un amendement au Titre 18 du Code des États-Unis. Si le projet vient à être adopté, la loi permettrait aux entreprises et aux particuliers d’essayer d’identifier la nature, la cause et l’origine des cyberattaques dont ils sont victimes.

Ce projet de loi, qui a fait l’objet de nombreux changements depuis sa version originale en début d’année dernière, autorise notamment l’utilisation des technologies de balise. Elle crée aussi une obligation d’aviser le gouvernement de l’utilisation de mesures de défense supplémentaires (en plus des balises).

L’objet est d’aider les forces de l’ordre à collecter des informations en cas de piratage et de faire obstacle aux activités ou tentatives répétées d’accès non autorisés par un hacker.

À première vue, ce projet de loi permet à une victime d’identifier son assaillant, de collaborer avec les autorités de police pour empêcher toute autre intrusion et de récupérer les données volées – l’on peut, en gros, cyberriposter, ce que l’on appelle hack back en anglais. Mais, cela ne revient-il pas à combattre le feu par le feu ? Et qu’en attendre sur le long terme ?

Le hack back, bonne ou mauvaise idée ?

Ce projet de loi a suscité de vives réactions de la part de professionnels de la cybersécurité qui avancent des arguments très convaincants sur les effets délétères d’une cyberriposte. En voici un résumé.

Compromission des preuves

Que la victime soit un particulier sans expérience ou une entreprise techniquement à la pointe, le risque de compromission des preuves doit être abordé. Ce projet de loi est censé aider les victimes à travailler main dans la main avec les forces de l’ordre. Or, en cas d’altération des preuves, ces dernières ne pourront être produites devant un tribunal pour inculper un cybercriminel. On peut alors se demander quelle sera l’utilité d’un tel projet de loi.

Difficultés à cibler les hackers avec précision

Les pirates informatiques lancent bien souvent leurs attaques à partir d’un serveur qui ne leur appartient pas. En contre-attaquant, on ne ferait que s’introduire dans le serveur d’une victime innocente.

La difficulté s’accroît à l’ère de l’Internet des Objets où il n’est pas rare de voir des cyberattaques lancées à partir de botnets — ces réseaux de machines zombies —, comme dans le cas du malware Mirai. Les propriétaires de ces machines sont des victimes au même titre que n’importe quelle autre victime ; une riposte pourrait donc leur porter préjudice.

Difficultés à distinguer le bien du mal

Si la loi sur le hack back passe, les entreprises et les particuliers pourraient y trouver un mode de réaction de facto au lieu d’envisager d’autres solutions.

Plutôt effrayant, si l’on y réfléchit, d’autant que certains chercheurs en sécurité, développeurs réunis lors de hackathons et autres pirates bien intentionnés lancent précisément leurs attaques (exploits) pour étudier les vulnérabilités, et les signaler. Mieux vaut donc éviter de riposter. Or, certaines entreprises risquent de réagir de manière impulsive, sans se laisser suffisamment le temps de la réflexion.

Perte de temps et de ressources

Aux entreprises qui ripostent, on peut opposer l’argument du gaspillage de ressources internes. Si vous avez déjà perdu de précieuses données et subissez en prime une interruption de service, en quoi votre cyberriposte peut-elle être bénéfique pour votre entreprise ?

Mobilisez vos ressources et votre temps à autre chose : notamment pour la reprise sur incident, les interventions sur incident, la reprise sur sinistre, l’information à dispenser à vos clients afin de limiter au maximum les répercussions sur vos produits et services.

Chez les particuliers et dans les petites entreprises, le manque de connaissances, d’outils et de ressources risque d’aggraver la situation et de fragiliser encore davantage les victimes. Les hackers s’en prendront probablement plus à celles et ceux qui disposent de ressources plus modestes. Mieux vaut donc sans doute consacrer plus de temps à la prévention des actes de piratage.

Risque de violation de la loi dans d’autres pays

Si vous vivez aux États-Unis ou que votre entreprise y exerce ses activités, qui sait si votre pirate informatique ne se trouve pas Pays-Bas ? Les techniques de cyberriposte employées pourraient contrevenir aux législations en vigueur dans d’autres États ou pays, et vous mettre en infraction avec la loi. En clair, si le hack back était légal aux États-Unis, il n’en irait pas forcément de même ailleurs.

Terminologie floue dans le projet de loi

Dans le projet de loi, une « victime » est définie de la façon suivante :

Entité victime d’une intrusion non autorisée et persistante dans l’ordinateur de ladite entité.

On pourrait arguer que le terme « intrusion » ne s’applique pas à l’utilisation de botnets ou dans le cadre d’attaques DDoS, mais ce point n’a pas été clarifié. Pas plus que le terme « persistant »… cela signifie-t-il qu’il faille identifier plusieurs tentatives d’intrusion dans votre système avant de pouvoir cyberrépliquer ?

Des risques supérieurs aux bénéfices

Une rapide évaluation des risques mettra clairement en lumière l’impact négatif des campagnes de hack back menées par les entreprises (et les particuliers). Elles peuvent effectivement entraver le bon déroulement des enquêtes sur les cybercriminels, mais aussi vous coûter de l’argent, du temps et des ressources que vous ne récupérerez jamais.

Au lieu de cybervengeance, consacrons plutôt nos efforts à améliorer la sécurité et les processus pour limiter les répercussions sur votre entreprise et vos clients.

Partager ce blog