USA : un républicain prépare une loi qui prévoit que les entreprises piratées puissent faire de même
En légitime défense

Le , par Stéphane le calme, Chroniqueur Actualités
Le représentant républicain Tom Graves estime que lorsqu’une entité (particulier ou entreprise) est victime de piratage, elle devrait pouvoir « se défendre » et aller « à la chasse aux pirates informatiques en dehors de leurs propres réseaux ». C’est l’essence même de la loi Active Cyber Defense Certitude (ACDC) dont l’ébauche sera bientôt présentée aux législateurs.

En clair, le membre du Congrès essaye de rendre le piratage une sorte de légitime défense dès lors que vous avez été piraté en premier.

Graves a indiqué qu'il « attend avec impatience de présenter officiellement ACDC » à la Chambre des représentants dans les prochaines semaines.

Le projet de loi bipartite ACDC permettrait aux entreprises, qui pensent qu’elles subissent une attaque continue de leur réseau, de pirater ceux qui en seraient les responsables afin d'arrêter l'attaque ou de recueillir des informations qu’elles vont transmettre aux forces de l’ordre.

Selon le draft qui a été publié, le projet de loi « comporte des réserves telles que vous ne pouvez pas détruire les données sur l'ordinateur d'une autre personne, causer des blessures physiques à quelqu'un ou créer une menace pour la sécurité publique ».


Tom Graves

Selon Politico, qui a eu une exclusivité sur la nouvelle version du draft, « Les changements clés incluent : une exigence de déclaration obligatoire pour les entités qui utilisent une technique de défense active pour aider les organismes fédéraux d’application de la loi à s'assurer que ces outils sont utilisés de manière responsable ; une clause de temporisation de deux ans qui permettrait au Congrès de revoir la loi afin d'apporter des modifications; et une exemption permettant aux personnes ou aux entreprises de récupérer leurs données perdues si elles sont utilisées en se servant des techniques défensives, mais également si elles peuvent être récupérées sans détruire d'autres données ».

Mais les critiques ne le voient pas de cet œil. Pour Hitesh Sheth, le PDG de l’entreprise de cybersécurité Vectra Networks, « Pour commencer, lorsqu’il y a réplication, se pose la question fondamentale de savoir qui cibler. Notez qu'après une attaque numérique majeure, il faut généralement des semaines pour déterminer qui en est responsable et même ces déterminations sont couvertes d'incertitude. C'est parce qu'aucun point unique d'origine n'est apparent. Graves veut habiliter les entreprises américaines à se lancer dans des attaques informatiques dans le but de débusquer les méchants qui ont provoqué une attaque ».

De son côté, Brian Bartholomew, chercheur senior en sécurité chez Kaspersky Lab, a indiqué que « Bien que l'intention de la proposition soit de rendre plus difficile le succès d’une attaque, cela soulève également une grande préoccupation au sein de la communauté ». Il a expliqué par exemple que « Fournir un “plan d'action” est loin d’égaler le fait de posséder une bonne formation ou une expertise juridique sur la façon de préserver les preuves qui seront confirmées devant un tribunal ». « Ce n'est qu'une question de temps pour que le premier criminel soit poursuivi et que les éléments de preuve soient rejetés en raison d'une mauvaise chaîne de garde ou de documentation ».


Hitesh Sheth

Comme cela a été démontré à maintes reprises, les attaquants sont de plus en plus conscients des techniques qu’ils peuvent employer pour que les preuves ne pointent pas dans leur direction : « avec la présentation de ce projet de loi, le résultat possible d'un tel acte peut être dévastateur. L'attribution correcte d'une attaque est une tâche déjà difficile et parfois impossible, en particulier pour une personne non formée ».

Hitesh Sheth évoque également le facteur temps : « Les attaques surviennent si rapidement que même les humains bien formés ne peuvent pas répondre efficacement. Les entreprises les plus avancées se défendent en utilisant l'intelligence artificielle, qui est suffisamment habile pour réagir assez rapidement et faire face aux menaces avancées telles que les récentes attaques de ransomware. Il n'y a absolument aucun moyen de créer une contre-offensive, de repérer les multiples ordinateurs cooptés qui nous ont attaqués, de trouver le point d'origine et de frapper de quelque manière que ce soit, les vrais méchants qui ont lancé l'attaque ».

Il ajoute que « Nous pourrions peut-être lancer des représailles, des semaines ou des mois après avoir été attaqué, mais nous ne pourrons certainement pas remonter à temps pour arrêter une attaque en cours. Les attaques ne se produisent pas de cette façon. Si vos appareils sont attaqués aujourd'hui, il est probable que les attaquants ont planté leurs logiciels malveillants dans votre réseau des mois à l’avance. Vous n'avez tout simplement pas pu les trouver parce que vos mesures de protection ne sont pas aussi avancées que les outils utilisés par vos adversaires ».

« En outre, nous n'avons pas suffisamment d'experts en cybersécurité pour répondre à ces attaques. On estime qu'aujourd'hui, il y a plus d'un million d'emplois en cybersécurité qui ne sont pas assurés, même avec des salaires élevés et de bons bénéfices. À l'heure actuelle, nous ne pouvons pas satisfaire aux exigences actuelles d'embauche des entreprises et des gouvernements pour la défense. Il n'y a pas de soldats cyber-réservistes à recruter pour former une armée offensive ».

Source : draft (au format PDF), Politico, tribune de Hitesh Sheth

Et vous ?

Que pensez-vous de cette proposition ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 05/06/2017 à 12:47
Le cas des attaques DDoS.

Très souvent ceux qui cause sont eux aussi des victimes.

Donc indirectement se serait une solution sécurité globale pour Windows qui serait proposé...

J'attend vraiment de perdre le contrôle de mon PC Windows...
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 05/06/2017 à 12:57
c'est moi ou ils font une loi qui nie un état de droit ?
dans ce cas aux USA on vas pouvoir justifier une attaque sur un concurrent si un poste de chez eux visite ton site web.
Avatar de Aeson Aeson - Nouveau Candidat au Club https://www.developpez.com
le 05/06/2017 à 12:58
Graves a indiqué qu'il « attend avec impatience de présenter officiellement ACDC »
Ils vont jouer quand ? C'est avec Axl ?
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 05/06/2017 à 13:27
Citation Envoyé par TiranusKBX Voir le message
c'est moi ou ils font une loi qui nie un état de droit ?
dans ce cas aux USA on vas pouvoir justifier une attaque sur un concurrent si un poste de chez eux visite ton site web.
Questionner, interroger, surveiller !

Hitesh Sheth évoque également le facteur temps : « Les attaques surviennent si rapidement que même les humains bien formés ne peuvent pas répondre efficacement. Les entreprises les plus avancées se défendent en utilisant l'intelligence artificielle, qui est suffisamment habile pour réagir assez rapidement et faire face aux menaces avancées telles que les récentes attaques de ransomware. Il n'y a absolument aucun moyen de créer une contre-offensive, de repérer les multiples ordinateurs cooptés qui nous ont attaqués, de trouver le point d'origine et de frapper de quelque manière que ce soit, les vrais méchants qui ont lancé l'attaque ».
Si l'historique de navigation et historique d'activité sont pas héberger sur un serveur distant, alors il faut interroger le ou les PC.
Bien sûr, aucune données personnelles n'aura été recueillie, selon les divers termes des licences et réglementations standards que s'impose les entreprises éditrices de logiciels.
L'activité de "programmation" va vraiment être mal vue.
Avatar de transgohan transgohan - Expert éminent https://www.developpez.com
le 05/06/2017 à 13:31
A quand un projet de loi pour avoir le droit de poursuivre un voleur avec une tronçonneuse et le ramener de force en le trainant derrière son cheval au poste de police le plus éloigné de l'état ?
Avatar de tounefr tounefr - Candidat au Club https://www.developpez.com
le 05/06/2017 à 13:36
En lisant le titre j'ai cru tombé sur un article du Gorafi.
Avatar de survivals survivals - Membre régulier https://www.developpez.com
le 05/06/2017 à 14:24
J'avoue, j'avais pensé à renvoyer les paquets sur les expéditionnaires des paquets de ddos, mon serveur étant plus puissant que mes attaquants qui devaient probablement le faire depuis leur pauvre connexion locale, l'attaque ayant eu lieu sur un DomU, j'avais à dispo les autres DomU et le Dom0, pour renvoyer les requêtes sur mes assaillant un par un.

Tout ce que j'aurais gagné c'est une interruption de mon contrat serveur, et puis bon un ddos si le mec s'amuse à faire ça depuis chez lui tous les jours c'est lui qui va finir par être coupé par son F.A.I.

Tout ça pour dire que si tu es plus compétent que ton assaillant, la tentation est grande de vouloir se faire justice sois même, mais comme vous dites sur le Net, le vrai assaillant n'est pas obligatoirement celui que l'on croit, mais si celui qui veut se venger est assez compétent pour pénétrer son assaillant direct, il pourra voir si le système est corrompu par un autre. Après si c'est que du ddos, c'est comme juste jeter un verre d'eau au visage de quelqu'un, ça sèche, mais rien n'est détruit, par contre si tu le fais en continue et que tu te met à parler à sa place, on va t'écouter en te prenant pour lui
Avatar de el_slapper el_slapper - Expert éminent sénior https://www.developpez.com
le 05/06/2017 à 15:32
Citation Envoyé par tounefr Voir le message
En lisant le titre j'ai cru tombé sur un article du Gorafi.
Avec ce que nous réservent certains décideurs, le Gorafi risque de mettre la clef sous la porte. Dépassés par la réalité.
Avatar de Grogro Grogro - Membre expert https://www.developpez.com
le 07/06/2017 à 10:32
Moi aussi j'ai cru à une blague du Gorafi. Cela ressemble, dans l'esprit, à une extension dans le numérique des lois très Dirty Harry dites "Stand your ground". Très redneck dans l'esprit, très républicain donc.

Effet boule de neige à prévoir. A attaque B en se faisant passer pour C (botnet par exemple). B riposte en attaquant C, de bonne foi, par incompétence technique. C ddos B comme un sauvage. Fuite de données confidentielles, pertes de données, rupture de service. Avec la spécialité américaine qui consiste à appliquer leur droit de force au reste du monde (comme l'amende infligée à BNP-Paribas par exemple). Cela nous promet des procès retentissants.
Avatar de survivals survivals - Membre régulier https://www.developpez.com
le 07/06/2017 à 12:25
Citation Envoyé par el_slapper Voir le message
Avec ce que nous réservent certains décideurs, le Gorafi risque de mettre la clef sous la porte. Dépassés par la réalité.
Tant mieux, jamais compris la popularité d'un tel site, mêlant actualité réelle et fictive contribuant à la destruction de la crédibilité des informations sur Internet.

Le seul but que je vois est la récolte des revenus publicitaire par divertissement de la masse, rien à voir avec l'esprit Internet et se rapproche plus des médias Télé.

Même si une partie de l'information est réel, la partie fictive fait que t'as pas intérêt à retenir ne serais-ce qu'une des ces informations fictives dans ton subconscient au risque d'avoir une information erroné qui y serait enregistré.
Contacter le responsable de la rubrique Accueil