Cette semaine, les États-Unis ont annoncé des sanctions économiques contre la Russie pour une campagne de piratage informatique qui a violé neuf agences fédérales et environ 100 entreprises privées. Une autre cyber-intrusion à grande échelle sur les systèmes informatiques américains, révélée au cours des six derniers mois, a été attribuée par Microsoft à une organisation parrainée par l’État «opérant hors de Chine».
Le Congrès et l’administration Biden préparent diverses réponses au-delà des sanctions. Le projet de loi annuel sur la défense de 2021, qui est devenu loi le 2 janvier, comprenait 27 dispositions en matière de cyberdéfense, allant des efforts visant à améliorer la sécurité des e-mails à la création d’un nouveau bureau du directeur national de la cybersécurité au sein de la Maison Blanche.
Pourquoi nous avons écrit ceci
Les sanctions contre la Russie ne sont qu’une partie de la réaction croissante des États-Unis après des violations majeures attribuées à des pirates étrangers. Certains experts considèrent les cadres du droit international comme la prochaine voie pour faire face aux cyberattaques mondiales.
Les intrusions étrangères sont survenues alors que les écoles, les gouvernements locaux et les entreprises ont fait face à leurs propres cyberattaques. Pendant ce temps, les experts notent que les États-Unis mènent leur propre cyberespionnage parrainé par l’État.
«Toutes ces choses mettent vraiment beaucoup de pression sur [nations] pour mieux sécuriser leurs systèmes », déclare Kristen Eichensehr, qui dirige le National Security Law Center de la faculté de droit de l’Université de Virginie. Elle dit qu’il y a également des pressions sur le «système juridique international pour qu’il réponde à cette impulsion ressentie selon laquelle ces choses sont mauvaises et qu’elles devraient être traitées comme illégales».
Le monde a regardé en état de choc le 6 janvier lorsque le Capitole américain a été physiquement violé. Mais le gouvernement fédéral avait été violé d’une manière différente des mois auparavant – par une cyber-intrusion à grande échelle qui est passée inaperçue pendant des mois.
Cette semaine, les États-Unis ont réagi en annonçant des sanctions économiques contre la Russie pour une campagne de piratage informatique qui a envahi neuf agences fédérales et environ 100 entreprises privées, et mis en danger la sécurité de plus de 16 000 systèmes informatiques dans le monde. À la suite de l’annonce des sanctions, la question à long terme demeure: que faut-il faire pour enrayer ces cyber-délits?
Que s’est-il passé?
Pourquoi nous avons écrit ceci
Les sanctions contre la Russie ne sont qu’une partie de la réaction croissante des États-Unis après des violations majeures attribuées à des pirates étrangers. Certains experts considèrent les cadres du droit international comme la prochaine voie pour faire face aux cyberattaques mondiales.
Le soi-disant piratage SolarWinds, du nom de certains des logiciels du secteur privé exploités par les attaquants, a commencé il y a au moins un an, bien qu’il n’ait été rendu public qu’en décembre après qu’une entreprise privée ait alerté le gouvernement fédéral de la violation.
Jeudi, les États-Unis ont désigné le service de renseignement étranger russe, le SVR, comme le coupable.
Bien qu’il ait la capacité d’entrer dans les réseaux de plus de 16 000 clients de SolarWinds, l’espionnage présumé russe était très ciblé. Des fichiers, y compris des courriels du chef de l’époque du Département de la sécurité intérieure (DHS), ont été consultés, ainsi que des données des départements de l’énergie, du commerce, de la justice, de l’État et du Trésor et de grandes entreprises de cybersécurité et de technologie.
Suzanne Spaulding, qui a servi dans le département de la Sécurité intérieure en tant que sous-secrétaire pour la cyber et les infrastructures sous l’administration Obama, dit que la préoccupation la plus importante est que l’intrusion de SolarWinds pourrait être la reconnaissance d’attaques perturbatrices.
De plus, une autre cyber-intrusion à grande échelle dans les systèmes informatiques américains a été révélée au cours des six derniers mois. Celui-ci non plus n’était pas utilisé pour détruire des systèmes mais pour espionner et voler.
En mars, le Microsoft Threat Intelligence Center a révélé une attaque ciblant les serveurs Microsoft Exchange, où des pirates ont eu accès à des comptes de messagerie et ont installé des logiciels malveillants pour obtenir un accès à long terme aux systèmes informatiques de divers secteurs.
Le malware, que le groupe Microsoft a attribué à HAFNIUM, une organisation parrainée par l’État «opérant hors de Chine», a permis de siphonner les informations économiques et de sécurité des entreprises. Bien qu’aucune agence fédérale américaine n’ait été touchée par l’intrusion de Microsoft, selon le témoignage au Congrès des responsables du DHS, une agence de l’Union européenne (l’Autorité bancaire européenne) faisait partie des violations.
Le contexte plus large: mardi, une évaluation annuelle des menaces mondiales, rendue publique par le Bureau du directeur du renseignement national, s’est concentrée sur les menaces cybernétiques, technologiques et militaires contre les États-Unis en provenance de Chine et de Russie.
Que fait-on en réponse?
La collaboration entre le gouvernement américain et le secteur privé a porté le nombre de systèmes américains touchés par le compromis Microsoft Exchange de 100 000 à moins de 10 000, a déclaré Anne Neuberger, haut responsable du cyberespace à la Maison Blanche, lors d’un événement début avril. Le ministère de la Justice a annoncé cette semaine qu’une action du FBI autorisée par le tribunal avait supprimé la capacité d’accès illicite sur des centaines d’ordinateurs américains, mais a averti que des logiciels malveillants supplémentaires pourraient rester sur certains systèmes.
Le piratage de SolarWinds a été révélé au fur et à mesure du déroulement du processus législatif pour ce que le sénateur indépendant Angus King of Maine a appelé «la loi nationale sur la cybersécurité la plus complète jamais adoptée dans l’histoire des États-Unis». Le projet de loi annuel sur la défense 2021, qui est devenu loi le 2 janvier, comprenait 27 dispositions en matière de cyberdéfense, allant des efforts visant à améliorer la sécurité des e-mails à la création d’un nouveau bureau du directeur national de la cyberdéfense au sein de la Maison Blanche.
Les dispositions étaient en grande partie le résultat du travail de la Commission du solarium du cyberespace mandatée par le Congrès, que le sénateur King a coprésidé avec le républicain Mike Gallagher du Wisconsin.
«Le directeur national du cyberespace fera une différence significative à l’avenir», déclare Mme Spaulding. Elle ajoute que le nouveau poste contribuera à réduire les tensions interinstitutions et que le personnel supplémentaire du bureau stimulera la planification opérationnelle.
Le 12 avril, le président Joe Biden a annoncé son candidat pour le nouveau poste, l’ancien directeur adjoint de l’Agence de sécurité nationale Chris Inglis. S’adressant au contrôleur ce jour-là, Mme Spaulding, qui a siégé avec M. Inglis à la Commission du solarium, a déclaré qu’il «serait formidable» dans son nouveau rôle. M. Inglis, en attendant la confirmation du Sénat, dirigera le bureau naissant chargé de contribuer à l’assainissement en cours et au travail préventif de dissuasion des attaques futures.
Jeudi, un haut responsable de l’administration a déclaré lors d’un point de presse que les efforts déjà en cours pour augmenter l’authentification multifactorielle et d’autres mesures de sécurité dans les neuf agences concernées seraient la «marque» d’un prochain décret axé sur l’achat de logiciels du gouvernement.
Les cibles des sanctions récemment annoncées contre la Russie incluent plus de 30 entités et personnes qui, selon l’administration Biden, ont été impliquées dans des tentatives dirigées par le gouvernement pour influencer l’élection présidentielle américaine de 2020 et d’autres actes d’ingérence. Six entreprises technologiques russes ont été désignées dans l’annonce des sanctions.
Quelles sont les prochaines étapes?
Les intrusions de SolarWinds et de Microsoft Exchange sont survenues alors que les écoles, les gouvernements locaux et les entreprises étaient confrontés à leurs propres cyberattaques.
«Toutes ces choses mettent vraiment beaucoup de pression sur [nations] pour mieux sécuriser leurs systèmes », déclare Kristen Eichensehr, qui dirige le National Security Law Center de la faculté de droit de l’Université de Virginie. Elle dit qu’il y a également des pressions sur le «système juridique international pour qu’il réponde à cette impulsion ressentie selon laquelle ces choses sont mauvaises et qu’elles devraient être traitées comme illégales».
L’administration a déclaré jeudi qu’elle «renforcerait les efforts» par le biais du George C. Marshall Center en Allemagne pour dispenser une formation aux décideurs étrangers sur l’applicabilité du droit international dans le cyberespace et dispenser un cours de formation unique en son genre sur le public. attribuer des cyber-incidents.
Les États-Unis “doivent parler fréquemment et ouvertement avec leurs homologues internationaux dans des forums comme les Nations Unies et des groupes d’alliés sur ce qu’ils pensent que les règles internationales devraient être”, a déclaré Mme Eichensehr lundi, avant l’annonce des sanctions. «Les États-Unis doivent être ouverts, clairs, transparents et exprimer leur opinion sur le droit international [in cyberspace] devrait évoluer. »
Pour compliquer le tout, disent les experts, les États-Unis mènent leur propre cyberespionnage.
En annonçant les sanctions contre la Russie, l’administration Biden a cité plusieurs raisons, notamment l’ampleur du compromis, le coût pour le secteur privé et les risques potentiels de dommages. “Citer une combinaison de facteurs n’est pas surprenant.” Mme Eichensehr a ajouté jeudi par courrier électronique, étant donné la difficulté de tracer une seule ligne d’argumentation pour les sanctions russes qui n’ouvriraient pas les États-Unis à des allégations similaires en réponse.
«Il est difficile de trouver et de ne pas risquer des accusations d’hypocrisie sur la base du comportement américain», dit Mme Eichensehr.
