Cyberattaques : Microsoft appelle à un tiers indépendant pour l’attribution

Afin de pousser à l’adoption de « normes pour la cybersécurité », tant pour les gouvernements que pour l’industrie des technologies de l’information et de la communication dans son ensemble, Microsoft propose la création d’un forum public-privé pour répondre à la question de l’attribution des attaques informatiques, ainsi qu’à celle d’une organisation indépendante pour enquêter sur celles-ci.

Dans un livre blanc intitulé « De l’articulation à la mise en œuvre : permettre d’avancer sur les normes pour la cybersécurité », Microsoft souligne que les lois internationales s’appliquent à Internet, mais qu’elles ne trouvent pas toujours de traduction dans l’espace cyber – et que se presser d’écrire et d’appliquer de nouvelles lois avant que ne soient développées des normes généralement acceptées pour la cybersécurité serait risqué.

« Nous reconnaissons que des normes pour la cybersécurité ont peu de chances d’être efficaces comme outil de régulation sans le développement de processus d’attribution des cyberattaques », écrit Scott Charney, vice-président corporate de l’éditeur en charge de l’initiative Trustworthy Computing, et principal auteur du livre blanc. Ce dernier doit donc « souligner les défis actuels autour de l’attribution des cyberattaques ». Et de suggérer pour cela la création d’un forum public-privé dédié à cette tâche – pour les attaques les plus graves. Celui-ci serait composé d’un groupe international d’experts techniques, et serait sujet à un examen par des pairs : « le développement de normes pour la cybersécurité va nécessiter de nouvelles formes de coopération, et de nouveaux mécanismes pour surmonter les défis uniques au cyberespace. De nouveaux modèles de partenariats public-privé – à une échelle mondiale – seront essentiels ».

Les auteurs du livre blanc n’en reconnaissent pas moins les difficultés à établir une autorité indépendante chargée d’enquêter sur les attaques et de leur attribution : « les gouvernements en particuliers peuvent être réticents à donner pouvoir à une organisation indépendante de faire des découvertes qui pourraient être politiquement importantes et lourdes ». Et les auteurs de suggérer une organisation « structurée d’une manière qui promeuve une acceptation globale ». Pour Microsoft, une telle institution indépendante devrait alors disposer d’une forte expertise technique, d’une représentation géographique diversifiée, être soumise à examen par des pairs, et enfin se concentrer uniquement sur les cyberattaques les plus sévères.

L’appel de Microsoft survient après qu’une attaque a visé le parti démocrate américain, mais également à la suite d’un appel de la Darpa à propositions pour recherche sur la question de l’attribution. Mais ce dernier se concentre sur le développement de mécanismes permettant de générer des informations opérationnelles et tactiques au sujet des campagnes conduites par les cybercriminels.

L’éditeur américain estime en outre que les « Etats devraient éviter d’attaquer les infrastructures critiques » et « de perturber le travail des CERTs ». Un vœu pieu ? Selon Bloomberg, Stuxnet n’était pas même le premier acte de cyberguerre. Pour le retrouver, il faudrait remonter à août 2008, avec l’explosion d’un pipeline dans l’est de la Turquie.

En janvier, une étude du Forum Economique Mondial alertait sur le risque que représentent les cyberattaques. Mais ses auteurs, l’avenir est à la course aux cyberarmes, entre pays, mais également entre experts de la protection et pirates. Une perspective qui en fera sûrement soupirer plus d’un, à commencer par Art Coviello qui en 2014, alors qu’il était encore président de RSA, appelait à l’abandon des cyberarmes : « le point clé est que les cybearmes peuvent être retournées contre leurs créateurs. Et l’on ne peut pas accepter cette perspective ». Tout récemment, l’Otan a d’ailleurs affirmé haut et fort sa détermination à prendre en compte les menaces cyber.

Avec nos confrères de SearchSecurity.com (groupe TechTarget).