Hack back : le fantasme du cowboy fait son retour aux Etats-Unis

Tom Graves récidive. Le représentant républicain du 14^e district de l’état de Géorgie, vient de déposer, avec le représentant démocrate Josh Gottheimer, du 5^e district du New Jersey, une proposition de loi visant de facto à autoriser les entreprises victimes d’une attaque informatique à riposter.

Tom Graves avait déjà proposé un texte similaire à l’automne 2017, dit « Active Cyber Defense Certainty Act ». Celui-ci visait notamment à dépénaliser les accès non autorisés à des systèmes informatiques à des fins d’attribution en réponse à une intrusion, ou pour perturber une telle intrusion. Mais le texte ne protégeait pas ceux qu’il appelait « défenseurs » de poursuites civiles de leurs cibles, et n’autorisait pas plus les actions destructrices.

Pour Tom Graves, qui répondait aux questions de nos confrères du Washington Post, il s’agit surtout de « nettoyer les zones grises de la loi », car selon lui, des entreprises auraient été « contraintes » à adopter de telles tactiques de défense active « en raison du volume d’attaques » qu’elles subissent.

Mais sans surprise, les expressions d’opposition au projet ne se sont pas faites attendre. Eva Galperin, responsable de la cybersécurité au sein de l’Electronic Frontier Foundation, appelle ainsi à « arrêter d’écrire » de genre de propositions législatives : « elles ne sont jamais une bonne idée. Même si vous pensez pouvoir confier à certaines équipes de sécurité le pouvoir de riposter, pouvez-vous le faire pour toutes ? » Et certains d’ironiser : « pourquoi ne pas légaliser les milices, pendant qu’on y est… ».

Mais Michael Cloppert, directeur du renseignement sur les menaces chez PwC, l’assure : « la justice milicienne ne fonctionne pas, en particulier dans le cyberespace. Il s’agit soit de vengeance vaguement maquillée en justice, ou d’une incompréhension complète de la manière dont les intrusions fonctionnent, sont analysées et prévenues ».

Lesley Carhart, de l’équipe de réponse à incidents de Dragos, ne s’inscrit pas sur une ligne différente : « c’est extrêmement peu sage. J’ai vu tant de désastres complets provoqués par des entreprises tentant cela de manière inepte ». Pour un autre expert de la réponse à incident, c’est bien simple : « si les entreprises ne sont pas capables de détecter et réagir à des brèches rapidement et effectivement, qui peut bien s’imaginer qu’elles sont capables de riposter de manière effective ? »

Et puis voilà, pour le RSSI Navpreet Jatana, « riposter suppose d’avoir une attribution sans faille ». Et c’est loin d’être trivial. Chez Kaspersky, Costin Raiu ne manquait pas de le souligner, en mars 2018, à l’occasion du Security Analysts Summit de l’éditeur, insistant sur les efforts consentis par les assaillants pour brouiller les pistes.

Robert M. Lee, fondateur de Dragos, n’est guère plus tendre : « permettre aux entreprises frappées par une cyberattaque de s’en prendre à d’autres est simplement dangereux et ajoute une confusion significative ».

Déjà en 2017, la proposition s’était attirée une volée de bois vert. Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), n’avait d’ailleurs pas caché ses réserves, se disant « effrayé » parce qu’il qualifiait alors d’abomination, tout particulièrement parce que l’attribution est un art difficile.

Mais Jake Williams, de Rendition Infosec, ou encore Gadi Evron, de Cymmetria, s’étaient inscrits sur une ligne légèrement différente. Pour le second, le problème était alors que le terme « hack back bloque tout conversation ». Car, pour l’éditeur, le sujet est celui de la réponse aux incidents « à différents degrés d’agressivité, suivant un spectre où, à certain point, vous vous déplacez sur les actifs côté attaquant ». Mais Cymmetria refusait toutefois toute idée de riposte ou de substitution aux forces de l’ordre.