IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

USA : un républicain prépare une loi qui prévoit que les entreprises piratées puissent faire de même
En légitime défense

Le , par Stéphane le calme

262PARTAGES

14  0 
Le représentant républicain Tom Graves estime que lorsqu’une entité (particulier ou entreprise) est victime de piratage, elle devrait pouvoir « se défendre » et aller « à la chasse aux pirates informatiques en dehors de leurs propres réseaux ». C’est l’essence même de la loi Active Cyber Defense Certitude (ACDC) dont l’ébauche sera bientôt présentée aux législateurs.

En clair, le membre du Congrès essaye de rendre le piratage une sorte de légitime défense dès lors que vous avez été piraté en premier.

Graves a indiqué qu'il « attend avec impatience de présenter officiellement ACDC » à la Chambre des représentants dans les prochaines semaines.

Le projet de loi bipartite ACDC permettrait aux entreprises, qui pensent qu’elles subissent une attaque continue de leur réseau, de pirater ceux qui en seraient les responsables afin d'arrêter l'attaque ou de recueillir des informations qu’elles vont transmettre aux forces de l’ordre.

Selon le draft qui a été publié, le projet de loi « comporte des réserves telles que vous ne pouvez pas détruire les données sur l'ordinateur d'une autre personne, causer des blessures physiques à quelqu'un ou créer une menace pour la sécurité publique ».


Tom Graves

Selon Politico, qui a eu une exclusivité sur la nouvelle version du draft, « Les changements clés incluent : une exigence de déclaration obligatoire pour les entités qui utilisent une technique de défense active pour aider les organismes fédéraux d’application de la loi à s'assurer que ces outils sont utilisés de manière responsable ; une clause de temporisation de deux ans qui permettrait au Congrès de revoir la loi afin d'apporter des modifications; et une exemption permettant aux personnes ou aux entreprises de récupérer leurs données perdues si elles sont utilisées en se servant des techniques défensives, mais également si elles peuvent être récupérées sans détruire d'autres données ».

Mais les critiques ne le voient pas de cet œil. Pour Hitesh Sheth, le PDG de l’entreprise de cybersécurité Vectra Networks, « Pour commencer, lorsqu’il y a réplication, se pose la question fondamentale de savoir qui cibler. Notez qu'après une attaque numérique majeure, il faut généralement des semaines pour déterminer qui en est responsable et même ces déterminations sont couvertes d'incertitude. C'est parce qu'aucun point unique d'origine n'est apparent. Graves veut habiliter les entreprises américaines à se lancer dans des attaques informatiques dans le but de débusquer les méchants qui ont provoqué une attaque ».

De son côté, Brian Bartholomew, chercheur senior en sécurité chez Kaspersky Lab, a indiqué que « Bien que l'intention de la proposition soit de rendre plus difficile le succès d’une attaque, cela soulève également une grande préoccupation au sein de la communauté ». Il a expliqué par exemple que « Fournir un “plan d'action” est loin d’égaler le fait de posséder une bonne formation ou une expertise juridique sur la façon de préserver les preuves qui seront confirmées devant un tribunal ». « Ce n'est qu'une question de temps pour que le premier criminel soit poursuivi et que les éléments de preuve soient rejetés en raison d'une mauvaise chaîne de garde ou de documentation ».


Hitesh Sheth

Comme cela a été démontré à maintes reprises, les attaquants sont de plus en plus conscients des techniques qu’ils peuvent employer pour que les preuves ne pointent pas dans leur direction : « avec la présentation de ce projet de loi, le résultat possible d'un tel acte peut être dévastateur. L'attribution correcte d'une attaque est une tâche déjà difficile et parfois impossible, en particulier pour une personne non formée ».

Hitesh Sheth évoque également le facteur temps : « Les attaques surviennent si rapidement que même les humains bien formés ne peuvent pas répondre efficacement. Les entreprises les plus avancées se défendent en utilisant l'intelligence artificielle, qui est suffisamment habile pour réagir assez rapidement et faire face aux menaces avancées telles que les récentes attaques de ransomware. Il n'y a absolument aucun moyen de créer une contre-offensive, de repérer les multiples ordinateurs cooptés qui nous ont attaqués, de trouver le point d'origine et de frapper de quelque manière que ce soit, les vrais méchants qui ont lancé l'attaque ».

Il ajoute que « Nous pourrions peut-être lancer des représailles, des semaines ou des mois après avoir été attaqué, mais nous ne pourrons certainement pas remonter à temps pour arrêter une attaque en cours. Les attaques ne se produisent pas de cette façon. Si vos appareils sont attaqués aujourd'hui, il est probable que les attaquants ont planté leurs logiciels malveillants dans votre réseau des mois à l’avance. Vous n'avez tout simplement pas pu les trouver parce que vos mesures de protection ne sont pas aussi avancées que les outils utilisés par vos adversaires ».

« En outre, nous n'avons pas suffisamment d'experts en cybersécurité pour répondre à ces attaques. On estime qu'aujourd'hui, il y a plus d'un million d'emplois en cybersécurité qui ne sont pas assurés, même avec des salaires élevés et de bons bénéfices. À l'heure actuelle, nous ne pouvons pas satisfaire aux exigences actuelles d'embauche des entreprises et des gouvernements pour la défense. Il n'y a pas de soldats cyber-réservistes à recruter pour former une armée offensive ».

Source : draft (au format PDF), Politico, tribune de Hitesh Sheth

Et vous ?

Que pensez-vous de cette proposition ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Zirak
Inactif https://www.developpez.com
Le 07/06/2017 à 12:50
Citation Envoyé par survivals Voir le message
Tant mieux, jamais compris la popularité d'un tel site, mêlant actualité réelle et fictive contribuant à la destruction de la crédibilité des informations sur Internet.

Le seul but que je vois est la récolte des revenus publicitaire par divertissement de la masse, rien à voir avec l'esprit Internet et se rapproche plus des médias Télé.

Même si une partie de l'information est réel, la partie fictive fait que t'as pas intérêt à retenir ne serais-ce qu'une des ces informations fictives dans ton subconscient au risque d'avoir une information erroné qui y serait enregistré.
Je comprends mieux ton message sur l'autre fil, en fait, tu n'arrives pas distinguer le second degré, et du coup, tu prends ça pour des trolls...

Et accessoirement, legorafi, TOUTES les news sont bidons, c'est pas un mélange de réel et de fiction. Le site rebondi sur l'actualité réelle certes, mais tous les gros titres que tu lis, sont bidons. Tout ce qui y est annoncé est faux. Si tu penses que cela mélange faits réels et faits fictifs, c'est que tu n'as déjà pas compris le principe du truc...

Tout comme là, quand el_slapper, dit que le gorafi pourrait mettre la clef sous la porte, c'est de l'humour, prendre ça au 1er degré et se dire "tant mieux", c'est qu'il y a un souci de compréhension quelque part.

Le gorafi ne contribue à la destruction de rien du tout, le problème vient surtout des gens qui prennent tout ce qu'ils lisent au 1er degré, et qui propagent ensuite ces lectures. Ce n'est pas la faute du gorafi si les gens n'ont plus aucune réflexion, c'est beaucoup plus vieux.
10  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 05/06/2017 à 13:31
A quand un projet de loi pour avoir le droit de poursuivre un voleur avec une tronçonneuse et le ramener de force en le trainant derrière son cheval au poste de police le plus éloigné de l'état ?
9  0 
Avatar de tounefr
Candidat au Club https://www.developpez.com
Le 05/06/2017 à 13:36
En lisant le titre j'ai cru tombé sur un article du Gorafi.
9  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 05/06/2017 à 15:32
Citation Envoyé par tounefr Voir le message
En lisant le titre j'ai cru tombé sur un article du Gorafi.
Avec ce que nous réservent certains décideurs, le Gorafi risque de mettre la clef sous la porte. Dépassés par la réalité.
6  0 
Avatar de Aeson
Nouveau Candidat au Club https://www.developpez.com
Le 05/06/2017 à 12:58
Graves a indiqué qu'il « attend avec impatience de présenter officiellement ACDC »
Ils vont jouer quand ? C'est avec Axl ?
3  0 
Avatar de Grogro
Membre extrêmement actif https://www.developpez.com
Le 07/06/2017 à 10:32
Moi aussi j'ai cru à une blague du Gorafi. Cela ressemble, dans l'esprit, à une extension dans le numérique des lois très Dirty Harry dites "Stand your ground". Très redneck dans l'esprit, très républicain donc.

Effet boule de neige à prévoir. A attaque B en se faisant passer pour C (botnet par exemple). B riposte en attaquant C, de bonne foi, par incompétence technique. C ddos B comme un sauvage. Fuite de données confidentielles, pertes de données, rupture de service. Avec la spécialité américaine qui consiste à appliquer leur droit de force au reste du monde (comme l'amende infligée à BNP-Paribas par exemple). Cela nous promet des procès retentissants.
3  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 05/06/2017 à 12:57
c'est moi ou ils font une loi qui nie un état de droit ?
dans ce cas aux USA on vas pouvoir justifier une attaque sur un concurrent si un poste de chez eux visite ton site web.
2  1 
Avatar de
https://www.developpez.com
Le 05/06/2017 à 12:47
Le cas des attaques DDoS.

Très souvent ceux qui cause sont eux aussi des victimes.

Donc indirectement se serait une solution sécurité globale pour Windows qui serait proposé...

J'attend vraiment de perdre le contrôle de mon PC Windows...
1  1 
Avatar de survivals
Membre averti https://www.developpez.com
Le 05/06/2017 à 14:24
J'avoue, j'avais pensé à renvoyer les paquets sur les expéditionnaires des paquets de ddos, mon serveur étant plus puissant que mes attaquants qui devaient probablement le faire depuis leur pauvre connexion locale, l'attaque ayant eu lieu sur un DomU, j'avais à dispo les autres DomU et le Dom0, pour renvoyer les requêtes sur mes assaillant un par un.

Tout ce que j'aurais gagné c'est une interruption de mon contrat serveur, et puis bon un ddos si le mec s'amuse à faire ça depuis chez lui tous les jours c'est lui qui va finir par être coupé par son F.A.I.

Tout ça pour dire que si tu es plus compétent que ton assaillant, la tentation est grande de vouloir se faire justice sois même, mais comme vous dites sur le Net, le vrai assaillant n'est pas obligatoirement celui que l'on croit, mais si celui qui veut se venger est assez compétent pour pénétrer son assaillant direct, il pourra voir si le système est corrompu par un autre. Après si c'est que du ddos, c'est comme juste jeter un verre d'eau au visage de quelqu'un, ça sèche, mais rien n'est détruit, par contre si tu le fais en continue et que tu te met à parler à sa place, on va t'écouter en te prenant pour lui
0  0 
Avatar de survivals
Membre averti https://www.developpez.com
Le 07/06/2017 à 19:02
Citation Envoyé par Zirak Voir le message
Je comprends mieux ton message sur l'autre fil, en fait, tu n'arrives pas distinguer le second degré, et du coup, tu prends ça pour des trolls...

Et accessoirement, legorafi, TOUTES les news sont bidons, c'est pas un mélange de réel et de fiction. Le site rebondi sur l'actualité réelle certes, mais tous les gros titres que tu lis, sont bidons. Tout ce qui y est annoncé est faux. Si tu penses que cela mélange faits réels et faits fictifs, c'est que tu n'as déjà pas compris le principe du truc...

Tout comme là, quand el_slapper, dit que le gorafi pourrait mettre la clef sous la porte, c'est de l'humour, prendre ça au 1er degré et se dire "tant mieux", c'est qu'il y a un souci de compréhension quelque part.

Le gorafi ne contribue à la destruction de rien du tout, le problème vient surtout des gens qui prennent tout ce qu'ils lisent au 1er degré, et qui propagent ensuite ces lectures. Ce n'est pas la faute du gorafi si les gens n'ont plus aucune réflexion, c'est beaucoup plus vieux.
J'ai jamais été lire d'article la-bas, mes recherches ne m'y ont jamais amené, je me base sur les discussions de collègues qui se marrent en racontant cette actualité qui rebondi sur l'actualité réelle et donc contient forcément quelques choses qui s'y rattache sinon tu n'aurais pas dit ça, bref oui ça m'énerve parce que j'aurais préférer avoir des conversations plus sérieuses avec eux, mais ils prenaient toutes l'actualité comme du "gorafi", heureusement pour moi je ne suis pas resté longtemps sur cette mission, l'avantage de changer de client souvent (un des seuls peut être), si tu tombe sur des collègues cons t'es pas obligé de faire ta carrière avec en mode faux cul.
0  0